Независимые эксперты говорят об уязвимости 99% Android-устройств

18.05.2011

Независимые эксперты утверждают, что более 99% смартфонов на базе Android потенциально подвержены утечке данных в случае кражи аппарата. Официально Google пока никак не прокомментировала данные об уязвимости 99% Android-устройств. Однако известно, что данные могут утечь, например, в случае входа злоумышленников на сервис Google Calendar под учетной записью пользователя.

Особенностями работы Android с идентификационными данными заинтересовалась группа немецких ИТ-специалистов из Университета города Ульм. По их словам, многие данные, связанные с авторизацией пользователей, Android-устройства передают автоматически. Это удобно для пользователей, но в случае кражи аппарата такое преимущество превращается в серьезную уязвимость.

Один из членов группы Флориан Шауб, рассказал, что их группа детально исследовала процессы управления данными, передаваемыми на удаленные сервисы. Оказалось, что многие приложения без уведомления пользователей отдают удаленным сервисам Google аутентификационные ключи, так называемые Digital ID Card для конкретного приложения. После того, как токен отдан, злоумышленники могут работать с сервисом и всеми данными в нем без какой-либо авторизации.

Немецкие исследователи предупреждают, что этот баг не только опасен сам по себе, он, в случае реализации, значительно затруднит поиск источников утечки информации. Более того, злоумышленники технически способны использовать токены и без кражи аппарата. Получив токен, злоумышленники могут использовать его на любом другом устройстве и получить доступ к пользовательским сведениям в онлайне.