Google планирует исправить ошибку в системе безопасности, которая потенциально позволяет хакерам и кибер-мошенникам получить доступ к персональным сведениям людей, пользующихся мобильной операционной системой Android.
Исследователи из университета в Ульме (Германия) первыми обнаружили уязвимость и 13 мая опубликовали информацию о ней. Ошибка сказывается только на тех приложениях Android, которые осуществляют аутентификацию с помощью сервисов Google, таких как Calendar и Contacts. Если пользователь обращается к сети Wi-Fi и пытается получить доступ к этим сервисам, хакер потенциально может перехватить маркер аутентификации и с его помощью в течение двух недель пользоваться учетной записью клиента.
“Сегодня мы начинаем рассылку исправления, устраняющего потенциальный пробел в системе безопасности, который может при определенных условиях позволить постороннему получить доступ к данным, имеющимся в Calendar и Contacts”, — заявил 18 мая представитель Google корреспонденту eWeek.
Поскольку проблема отсутствует в Android 2.3.4 или 3.0 (Honeycomb, версии, специально разработанной для планшетов), специалисты по безопасности рекомендовали пользователям обновить операционные системы своих смартфонов до новейшей версии. Однако многие пользователи Android не могут сделать этого без взлома устройств. Кроме того, провайдеры беспроводной связи известны своей медлительностью при апгрейде Android. Например, клиенты корпорации Verizon Wireless все еще вынуждены использовать Android 2.2.2.
Google разошлет собственное исправление вместо того, чтобы ждать, пока провайдеры обновят Android на мобильных устройствах.
“Это исправление не требует от пользователя каких-либо действий и через несколько дней будет разослано по всему миру”, — сказал представитель Google.
Заплатка не предполагает обновления ПО на самом устройстве с Android, поскольку для решения проблемы Google установит ее на серверах, сообщил Грэхем Клули, старший технический консультант из компании Sophos. “Молчаливое исправление” будет произведено автоматически и по все миру для всех версий Android, добавил Клули.
Если верить собственной статистике Google, 99,7% используемых сейчас смартфонов с Android работает под управлением версии 2.3.3 или более старой и уязвимы для атак, при которых преступник выступает в роли посредника и выдает себя за легального пользователя.
В течение недели работа будет завершена, и все устройства избавлены от этой уязвимости, после того как серверы начнут принуждать смартфоны с Android использовать зашифрованные соединения HTTPS при синхронизации данных. ПО для синхронизации Picasa с приложением Gallery все еще использует соединение по протоколу HTTP без шифрования. Исправление для Picasa пока находится в стадии разработки, отметил Клули.
Даже после установки исправления пользователям Android следует избегать публичных сетей Wi-Fi, предупреждают специалисты по безопасности. Владельцы смартфонов также уязвимы для другого типа атак с использованием посредника, именуемых “похищение ID-сессии”. При этом атакующие перехватывают идентификатор активной сессии, поддерживаемой через открытое беспроводное соединение, сообщил корреспонденту eWeek Майк Пакет, главный специалист компании TopLayer Networks по стратегии.
Для успеха такой атаки пользователь Android должен находиться рядом с преступником и подключиться к той же беспроводной сети. Поэтому для атаки, вероятно, будут использоваться места, где собирается много пользователей публичных сетей Wi-Fi, считает Пакет.
Хотя нынешняя проблема решается довольно быстро, Клули озабочен быстрым устранением серьезных уязвимостей устройств с Android в будущем, поскольку при рассылке обновлений операционной системы Google зависит от производителей и операторов связи.