Google repara un bug de securitate pe Android

0 Shares
0
0
0

Google Inc. a lansat un update pentru sistemul sau de operare Android, pentru a repara un bug de securitate, banuit a fi lasat milioane de smartphone-uri si tablete vulnerabile, in fata atacurilor gen furt de identitate. Vrei incarcator telefon? Intra pe AccesoriiGsm.ro!

Acest bug ar putea “sub anumite circumstante, sa permita accesul unui utilizator 3rd party, la orice tip de data personala disponibila in sectiunea calendar si contacte”, declara un angajat Google intr-o conferinta oficiala a companiei.

Acest “fix” al bug-ului respectiv, nu are nevoie de nici un fel de interactiune din partea userilor si va aparea la nivel global in cateva zile. Fix-ul (update-ul) va fi lansat pentru fiecare versiune de sistem de operare Android, iar telefoanele si tabletele vor incepe sa primeasca update-urile in mod automat, potrivit acelorasi declaratii de presa.

Pana acum insa, nu s-au gasit dovezi concrete ca bug-ul a fost intr-adevar folosit pentru a fura date personale si nu a fost decoperit, pana in momentul in care cei de la Universitatea din Ulm nu au lansat un raport ce evidentia o carenta de securitate. Implicatiile acestei vulnerabilitati pot ajunge la pierderea unor date personale din Calendar.

Informatiile private despre alte persoane din categoria Contact de exemplu, pot fi si ele compromise, adica pot fi furate de utilizatori 3rd party.

Vulnerabilitatea pentru sistemele de operare Android, a fost evidentiata prima data de catre profesorul Dan Wallach de la Rice University in luna Februarie, iar Universitatea din Ulm a continuat cercetarile.

Mai mult decat simplul furt al unor informatii personale importante, un hacker poate sa initieze schimbari subtile in sistem, fara ca userul sa bage de seama. De exemplu, un hacker poate sa schimbe adresa de e-mail stocata cu cea a unor parteneri de afaceri, primind astfel informatii sensibile si importante, dar mai ales confidentiale.

Bug-ul a afectat 99.7% dintre toate device-urile cu Android si nu a fost limitat doar la Google Calendar si la sectiunea de Contacte, el poate afecta toate serviciile Google, declara cei de la Universitatea Ulm.

Printre bresele de securitate evidentiate in raport, a existat si una ce se refera strict la serviciul ClientLogin, ce ajuta sistemul Android sa autentifice aplicatiile ce ruleaza pe smartphone. De fapt, pentru a folosi ClientLogin, o aplicatie are nevoie de trimiterea unei cereri de autentificare (token de autentificare) numit si authToken catre serviciul Google, prin trimiterea unei parole si a unui nume de cont, printr-o conexiune securizata de tip “https”.

Daca authtoken-ul este trimis printr-o retea wireless de exemplu care nu este securizata, un hacker poate foarte usor sa-l sparga si sa foloseasca mai departe informatiile respective, pentru a accesa date personale si pentru a fura documente importante. Hacker-ul poate obtine un acces nelimitat la Calendar, la informatiile despre contacte sau albume private WEB, ale respectivului user Google.

Aceasta inseamna ca hacker-ul poate sa vada, sa modifice si sa stearga orice contacte, evenimente din calendar sau fotografii personale. Accesul nu este limitat numai la datele sincronizate, ci poate fi extins la toate datele utilizatorului.

0 Shares
You May Also Like