Перейти к содержанию

Обнаружена уязвимость, при которой приложения для Android посылают специальный ключ в незашифрованном виде


Рекомендуемые сообщения

Обнаружена уязвимость, при которой приложения для Android посылают специальный ключ в не зашифрованном виде.

 

Исследователи из немецкого университета, расположенном в городе Ульме, нашли уязвимость, которая может привести к перехвату пользовательских данных.

 

Данная уязвимость проявляется при использовании таких сервисов Google как Picasa, GMail, Google Calendar вкупе со специальным протоколом ClientLogin, который используют все онлайновые приложения для Android. Уязвимость возникает в момент использования этого протокола поверх HTTP-сессии, вместо HTTPS.

 

Характеризуется дыра в безопасности тем, что при работе через вышеуказанный протокол, операционная система посылает специальный токен для авторизации (authToken) с серверами Google в не зашифрованном виде. Как сообщают исследователи, этой уязвимости подвержен даже плагин для подключения к Google Calendar используемый в почтовом клиенте Mozilla Thunderbird на обычных персональных компьютерах.

 

Очень хорошо эксплуатируется уязвимость в не зашифрованных публичных Wi-Fi сетях, когда можно легко перехватить любую чужую сессию вместе с таким ключом и получить доступ к вашим данным. Разработчики компании Google извещены об этой проблеме и работают над её решением. Кроме того, Android версий 2.3.4 и 3.x уже обновлён соответствующим образом, где эта проблема закрыта. Ну, а пользователям пока что рекомендуется включать HTTPS принудительно, для аутентификации на серверах Google.

источник

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Мы обнаружили новую схему распространения трояна-банкера Mamont. Злоумышленники обещают доставить некий товар по оптовым ценам, которые могут быть интересны как малому бизнесу, так и частным покупателям, и предлагают установить Android-приложение для отслеживания посылки. По факту же вместо трекинговой утилиты жертве подсовывают троян, служащий для перехвата финансовых учетных данных, пуш-уведомлений и другой важной информации.
      Схема мошенничества
      На ряде сайтов злоумышленники якобы продают различные товары по достаточно привлекательным ценам. Для покупки жертве предлагают присоединиться к закрытому чату в мессенджере Telegram, где размещены инструкции по размещению заказа. По сути эти инструкции сводятся к тому, что жертве нужно написать личное сообщение менеджеру. Сам канал существует для большей убедительности: в нем идет общение участников, которые задают уточняющие вопросы, получают ответы, что-то комментируют. Вероятно, среди участников этого чата есть как другие жертвы схемы, так и боты, которые создают видимость активной торговли.
       
      View the full article
    • MaximLem
      От MaximLem
      Здравствуйте, хотел бы обратиться за помощью в связи с ситуацией с вирусами на компьютере. Честно говоря, не знаю точно после чего эти вирусы появились., находятся они в разделе "Разрешённые угрозы". Логи и скриншот прикрепил
    • Hard07
      От Hard07
      Не удаляется касперским, удалил уже все приложения которые могли его принести, в том числе торрент, что делать?
    • KL FC Bot
      От KL FC Bot
      На большинстве смартфонов установлено в среднем около 80 приложений, из которых минимум 30% никогда не используются, даже если владелец телефона и помнит об их существовании. Подобный «балласт» весьма вреден: свободное место на телефоне уменьшается, число возможных ошибок и проблем совместимости увеличивается, и даже неиспользуемые приложения порой отвлекают владельца бесполезными оповещениями.
      Что еще хуже, «заброшенные» приложения могут продолжать собирать данные о самом смартфоне и его владельце, скармливая их многочисленным рекламным фирмам или просто пожирая трафик. Надеемся, мы уже убедили вас, что смартфон стоит чистить от установленного мусора хотя бы пару раз в год, удаляя с него те программы, которыми вы последний раз пользовались очень давно, — кстати, не забудьте отключить и платную подписку на них!
      К сожалению, некоторые приложения стереть не так-то просто: их удаление заблокировано производителем. Для решения этой проблемы есть ряд рецептов.
      Удалить приложение
      Иногда вы не можете найти ненужное приложение в разделе «Управление приложениями и устройством» в установленном на смартфоне Google Play. Первым делом попытайтесь удалить такое приложение напрямую через настройки телефона: ищем в них подраздел «Приложения» (Apps). Там перечислены все установленные программы, а чтобы не листать длинный список в поиске ненужной, можно воспользоваться поиском. Найдя требуемый апп и нажав на него, вы попадаете на экран «Свойства приложения». Тут можно ознакомиться с потреблением программой памяти, трафика и энергии, а главное — найти и нажать кнопку «Удалить» (Uninstall). Если кнопка обнаружилась и успешно нажалась, то дело сделано.
      Список всех установленных приложений и экран свойств приложения с кнопкой «Удалить» (Uninstall)
       
      Посмотреть статью полностью
    • urnotopium
      От urnotopium
      Купил лицензию kaspersky plus на сайте my Kaspersky, на сайте пишет что подписка есть и что при скачивании приложении на android подписка автоматически перенесетс, однако этого не происходит. Пытался добавить устройство, пишет доставка подписки уже сутки.



×
×
  • Создать...