Уязвимость в Google Android

[Aliengamer]

Появилась информация о том, что почти все устройства, работающие под управлением Google Android, уязвимы к внешним атакам.

Уязвимость вызвана утечкой в протоколе аутентификации ClientLogin, который используется для авторизации между устройством и приложением. ClientLogin работает по принципу получения логина и пароля по протоколу HTTPS и затем возвращает специальный токен приложению.

Атакующий может перехватить этот токен, так как большинство приложений передают данные в незашифрованном виде. Поэтому, атакующий может получить любые данные, которые передает пользователь планшета или телефона.

Все версии Android, которые вышли до Gingerbread 2.3.4, подвержены этой уязвимости. А так как обновление Android предлагают лишь единицы производителей, это означает, что почти каждое устройство на базе Android открыто для атак.
(Источник radeon.ru, fudzilla.com)


Так что будьте бдительны уважаемые андроидчики

[yarek]

наверное ВИНДОВС такие слухи пускает,их голова болит как это их не хотят,андроид на порядок лучше виндовса

[Aliengamer]

yarek, Не факт, Вин7Мобайл очень даже себе перспективная оська. Ходят слухи, что Вин хочет Ноклу купить, так что мидл класса девайсы очень даже заполонят рынок

[magician]

Цитата:

Сообщение от yarek

андроид на порядок лучше виндовса

чем лучше ?

[Arte]

Вот тут поподробнее: http://www.techspot.com/news/43838-9...edentials.html

На самом деле всё не страшно особо. Это ваши пакеты должны трейсить в real time. Быстро найти токен этот на текущую сессию, зайти в гуглоэккаунт и там сделать страшное!!! посмотреть контакты и возможно изменить их
Весьма специфическая дырка я бы сказал...

[Yury]

может я чего-то не понял, но вроде ж пишут, что если какое-то стороннее приложение будет использовать этот токен плюс будет посылать его в открытом виде.
я даже затрудняюсь сказать, сколько таких кривых приложений и что они вообще делают и зачем их ставить.
они бы сразу список написали что ли. а то окажется, что только одно приложение такое и существует и поставили его сотня человек, а пишут, что 99% всех девайсов в опасности.

пысы, есть у меня одно приложение, которое использует гугл акаунт, смс бэкап называется, но оно по https соединяется.

[rojer]

The truth about the latest Google Android security scare.

tl;dr: пара приложений передавала авторизационный параметр в незашифрованном виде, что означает что тот, кто висит на том же *незащищённом* вайфае что и вы мог подслушать его. гугл пофиксил это на сервере (переводом на https).