Перейти к содержанию

Обнаружена уязвимость, при которой приложения для Android посылают специальный ключ в незашифрованном виде

apq
 Поделиться

Рекомендуемые сообщения

apq

apq

Опубликовано
Опубликовано

Обнаружена уязвимость, при которой приложения для Android посылают специальный ключ в не зашифрованном виде.

 

Исследователи из немецкого университета, расположенном в городе Ульме, нашли уязвимость, которая может привести к перехвату пользовательских данных.

 

Данная уязвимость проявляется при использовании таких сервисов Google как Picasa, GMail, Google Calendar вкупе со специальным протоколом ClientLogin, который используют все онлайновые приложения для Android. Уязвимость возникает в момент использования этого протокола поверх HTTP-сессии, вместо HTTPS.

 

Характеризуется дыра в безопасности тем, что при работе через вышеуказанный протокол, операционная система посылает специальный токен для авторизации (authToken) с серверами Google в не зашифрованном виде. Как сообщают исследователи, этой уязвимости подвержен даже плагин для подключения к Google Calendar используемый в почтовом клиенте Mozilla Thunderbird на обычных персональных компьютерах.

 

Очень хорошо эксплуатируется уязвимость в не зашифрованных публичных Wi-Fi сетях, когда можно легко перехватить любую чужую сессию вместе с таким ключом и получить доступ к вашим данным. Разработчики компании Google извещены об этой проблеме и работают над её решением. Кроме того, Android версий 2.3.4 и 3.x уже обновлён соответствующим образом, где эта проблема закрыта. Ну, а пользователям пока что рекомендуется включать HTTPS принудительно, для аутентификации на серверах Google.

источник

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • r4pdj
      [РЕШЕНО] Обнаружено вредоносное приложение HEUR:Trojan.Win64.Miner.gen
      Автор r4pdj
      Здравствуйте.
      Неделю назад поставили Kaspersky Plus по подписке на второй компьютер (до этого несколько месяцев компьютер был без защиты). Обнаружилось 2 вируса. Один внедрён в svhost, другой - отдельное приложение майнер. Пробовали лечить, удалять и всё безрезультатно.

    • urnotopium
      Проблема с переносом лицензии на приложение android.
      Автор urnotopium
      Купил лицензию kaspersky plus на сайте my Kaspersky, на сайте пишет что подписка есть и что при скачивании приложении на android подписка автоматически перенесетс, однако этого не происходит. Пытался добавить устройство, пишет доставка подписки уже сутки.



    • MaximLem
      [РЕШЕНО] Вирусы, которые обнаружил Windows Defender
      Автор MaximLem
      Здравствуйте, хотел бы обратиться за помощью в связи с ситуацией с вирусами на компьютере. Честно говоря, не знаю точно после чего эти вирусы появились., находятся они в разделе "Разрешённые угрозы". Логи и скриншот прикрепил
    • KL FC Bot
      Банкер Mamont под видом приложения для трекинга | Блог Касперского
      Автор KL FC Bot
      Мы обнаружили новую схему распространения трояна-банкера Mamont. Злоумышленники обещают доставить некий товар по оптовым ценам, которые могут быть интересны как малому бизнесу, так и частным покупателям, и предлагают установить Android-приложение для отслеживания посылки. По факту же вместо трекинговой утилиты жертве подсовывают троян, служащий для перехвата финансовых учетных данных, пуш-уведомлений и другой важной информации.
      Схема мошенничества
      На ряде сайтов злоумышленники якобы продают различные товары по достаточно привлекательным ценам. Для покупки жертве предлагают присоединиться к закрытому чату в мессенджере Telegram, где размещены инструкции по размещению заказа. По сути эти инструкции сводятся к тому, что жертве нужно написать личное сообщение менеджеру. Сам канал существует для большей убедительности: в нем идет общение участников, которые задают уточняющие вопросы, получают ответы, что-то комментируют. Вероятно, среди участников этого чата есть как другие жертвы схемы, так и боты, которые создают видимость активной торговли.
       
      View the full article
    • KL FC Bot
      Безопасны ли приложения Android SafetyCore и Android System Key Verifier | Блог Касперского
      Автор KL FC Bot
      С февраля многие пользователи жалуются на то, что на их Android-смартфонах внезапно появилось приложение Android System SafetyCore. У него нет интерфейса и настроек, но из Google Play можно узнать, что разработчиком является сама Google, число установок превышает миллиард, а рейтинг составляет позорные 2,2 балла. Назначение приложения описано расплывчато: «Обеспечивает технологию для работы функций, таких как «Предупреждения о деликатном контенте» в Google Messages». Что такое «деликатный контент» (sensitive content), можно легко догадаться, но как и почему о нем будет предупреждать Google? И как собирается узнавать, что контент именно деликатный?
      Спешим успокоить — по заявлениям как Google, так и сторонних экспертов, функция не создает угроз приватности. SafetyCore работает на устройстве и не отправляет ни фотографий, ни информации о фотографиях на внешние серверы. Если в Google Messages пользователь получает сообщение с картинкой, то модель машинного обучения, запущенная прямо на смартфоне, анализирует изображение и размывает его, если детектирует нюдсы. Пользователь должен кликнуть на изображение и подтвердить, что он действительно хочет увидеть «обнаженку», и тогда размытие пропадает. Аналогичная функция работает при отправке — если пользователь пытается отправить изображение с обнаженными телами, смартфон переспросит, действительно ли нужно отсылать изображение. Google подчеркивает, что информация о результатах проверки картинки никуда не отправляется.
      Приложение SafetyCore обеспечивает анализ изображений, но оно не предназначено для самостоятельного использования: другие аппы обращаются к SafetyCore при приеме и отправке картинок, а уж как использовать результаты анализа — зависит от них. Пока воспользоваться ИИ-анализом можно в Google Messages — здесь изображения, признанные «деликатными», будут размыты. В будущем Google обещает открыть функции SafetyCore другим разработчикам, и реагировать на «клубничку» смогут, например, WhatsApp с Telegram. Другие приложения при этом могут быть настроены так, чтобы блокировать «обнаженку» или сразу отправлять такие картинки в спам.
       
      View the full article
×
×
  • Создать...