reklama

Bezpečnostní chyba Androidu připomíná Dropbox

Před pár týdny jsem publikoval článek o tom, jak snadno získat totální přístup k datům cizího dropboxového účtu. Tehdejší slabinou byl nešifrovaný jedinečný identifikátor počítače registrovaného ve službě Dropbox. Kdokoliv cizí by takový identifikátor použil (zkopíroval ho z počítače nešťastníka, který si zrovna odešel na oběd), mohl by ze svého počítače udělat klon, který by přijímal z Dropboxu to samé co původní počítač.

Něčím pravděpodobně podobným trpí i Android při komunikaci se službami Googlu, ale principiálně i hromada dalších autentizačních služeb. Podobně jako populární OAuth používá Google svůj systém pro autorizaci přístupů ClientLogin. Princip těchto technologií spočívá v tom, že když bude chtít k vašemu účtu Googlu (nebo třeba Twitteru, Facebooku aj.) přistupovat cizí služba, přesměruje vás na stránky originální služby, kde se přihlásíte a služba pak získá pouze jedinečný identifikátor, díky kterému získá práva nakládat s vašimi daty. Výhoda je zřejmá – cizí služba se nedozví vaše heslo, dostane ale skrze identifikátor přístup k datům.

Takto to v mnoha případech funguje i na Androidu a zatím ku prospěchu všech. Pak si ovšem kdosi položil otázku, jestli by tento identifikátor stejně jako v případě Dropboxu nešlo nějakým způsobem získat. U mobilů by to bylo pro hackery relativně snadnější v případě, kdy budou lidé komunikovat v nějaké nezabezpečené bezdrátové síti, ve které by mohl záškodník odposlouchávat HTTP komunikaci.

Z teorie se stala praxe, když bezpečnostní odborníci zjistili, že hromada programů na Androidu komunikuje s Googlem zcela nezabezpečeně (žádná šifrovaná SSL komunikace) a v hlavičce HTTP dotazu tedy posílají i nezabezpečený unikátní identifikátor pro systém ClientLogin. Ten se přitom zasílá pokaždé, kdy program od Googlu něco žádá a stvrzuje tak, že k tomu má skutečně oprávnění. Kdokoliv by tedy tento identifikátor v nezabezpečené síti odchytil, získá stejně jako v případě Dropboxu práva k nakládání třeba s údaji v Google Kalendáři, na Picase a v dalších službách, které tento systém autentizace umožňují.

Klepněte pro větší obrázek
Inženýři z Ulmu použili k analýze v současné době asi nejpopulárnější „zachytávač paketů“ Wireshark. Zatmavená část je jedinečný identifikátr, který aplikaci otevře cestu ke všem datům na Googlu

Inženýři z univerzity v Ulmu otestovali všechny aktuální verze Androidu na přístup ke kontaktům (Gmail), kalendáři (Google Calendar) a k synchronizovaným fotkám (Picasa). Všechny verze nižší než 2.3.4 umožňují komunikaci aplikací s Googlem na nezabezpečeném HTTP, 2.3.4 a 3.0 pak už pro všechny případy používají SSL (HTTPS).

Máme se bát? V našich končinách to vzhledem k počtu hackerů na tisíc obyvatel asi nebude tak horký problém, nicméně potenciálně je chyba docela nebezpečná. Jediným řešením je tak snad pouze tlak na autory aplikací, kteří ClientLogin používají, aby striktně používali pro jakýkoliv přenos autorizačních informací SSL.

Témata článku: Google, Bezpečnost, Android, Dropbox, Google Calendar

12 komentářů

Nejnovější komentáře

  • tomikcz 23. 5. 2011 2:13:44
    zacnete uz prosim spravne rozlisovat mezi pojmem hacker a cracker. Nechci...
  • QuarkCZ 18. 5. 2011 9:58:22
    A neni toto nahodou problem v principu vsech aplikaci pracujicich s...
  • Martin Hruška 17. 5. 2011 21:45:03
    Proto se všichni s mobilem hned přihlašujte do cizích wifi a stahujte si...
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 36

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 133

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 39

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

** AMD uvedlo první tři procesory Ryzen 7 ** Všechny budou pracovat s osmi jádry a šestnácti vlákny ** Na pulty obchodů se dostanou už za týden

22.  2.  2017 | Stanislav Janů | 131

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

** Evropští úředníci chtějí, aby byly Desítky transparentnější ** Microsoft od jara skutečně chystá změny ** Ochráncům soukromí to ale nestačí

21.  2.  2017 | Jakub Čížek | 218

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

** Microsoft do svých telefonů integroval desktopové prostředí ** Moc to ale nevyšlo, chyběl pořádný výkon ** Teď to zkoušejí ex-googleři s Remix Singularity

23.  2.  2017 | Jakub Čížek | 73


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných špuntových sluchátek

Příslušenství do USB-C

reklama
reklama