Bezpečnostní chyba Androidu připomíná Dropbox

Před pár týdny jsem publikoval článek o tom, jak snadno získat totální přístup k datům cizího dropboxového účtu. Tehdejší slabinou byl nešifrovaný jedinečný identifikátor počítače registrovaného ve službě Dropbox. Kdokoliv cizí by takový identifikátor použil (zkopíroval ho z počítače nešťastníka, který si zrovna odešel na oběd), mohl by ze svého počítače udělat klon, který by přijímal z Dropboxu to samé co původní počítač.

Něčím pravděpodobně podobným trpí i Android při komunikaci se službami Googlu, ale principiálně i hromada dalších autentizačních služeb. Podobně jako populární OAuth používá Google svůj systém pro autorizaci přístupů ClientLogin. Princip těchto technologií spočívá v tom, že když bude chtít k vašemu účtu Googlu (nebo třeba Twitteru, Facebooku aj.) přistupovat cizí služba, přesměruje vás na stránky originální služby, kde se přihlásíte a služba pak získá pouze jedinečný identifikátor, díky kterému získá práva nakládat s vašimi daty. Výhoda je zřejmá – cizí služba se nedozví vaše heslo, dostane ale skrze identifikátor přístup k datům.

Takto to v mnoha případech funguje i na Androidu a zatím ku prospěchu všech. Pak si ovšem kdosi položil otázku, jestli by tento identifikátor stejně jako v případě Dropboxu nešlo nějakým způsobem získat. U mobilů by to bylo pro hackery relativně snadnější v případě, kdy budou lidé komunikovat v nějaké nezabezpečené bezdrátové síti, ve které by mohl záškodník odposlouchávat HTTP komunikaci.

Z teorie se stala praxe, když bezpečnostní odborníci zjistili, že hromada programů na Androidu komunikuje s Googlem zcela nezabezpečeně (žádná šifrovaná SSL komunikace) a v hlavičce HTTP dotazu tedy posílají i nezabezpečený unikátní identifikátor pro systém ClientLogin. Ten se přitom zasílá pokaždé, kdy program od Googlu něco žádá a stvrzuje tak, že k tomu má skutečně oprávnění. Kdokoliv by tedy tento identifikátor v nezabezpečené síti odchytil, získá stejně jako v případě Dropboxu práva k nakládání třeba s údaji v Google Kalendáři, na Picase a v dalších službách, které tento systém autentizace umožňují.

Klepněte pro větší obrázek
Inženýři z Ulmu použili k analýze v současné době asi nejpopulárnější „zachytávač paketů“ Wireshark. Zatmavená část je jedinečný identifikátr, který aplikaci otevře cestu ke všem datům na Googlu

Inženýři z univerzity v Ulmu otestovali všechny aktuální verze Androidu na přístup ke kontaktům (Gmail), kalendáři (Google Calendar) a k synchronizovaným fotkám (Picasa). Všechny verze nižší než 2.3.4 umožňují komunikaci aplikací s Googlem na nezabezpečeném HTTP, 2.3.4 a 3.0 pak už pro všechny případy používají SSL (HTTPS).

Máme se bát? V našich končinách to vzhledem k počtu hackerů na tisíc obyvatel asi nebude tak horký problém, nicméně potenciálně je chyba docela nebezpečná. Jediným řešením je tak snad pouze tlak na autory aplikací, kteří ClientLogin používají, aby striktně používali pro jakýkoliv přenos autorizačních informací SSL.

Témata článku: Google, Bezpečnost, Android, Dropbox, Google Calendar

12 komentářů

Nejnovější komentáře

  • tomikcz 23. 5. 2011 2:13:44
    zacnete uz prosim spravne rozlisovat mezi pojmem hacker a cracker. Nechci...
  • QuarkCZ 18. 5. 2011 9:58:22
    A neni toto nahodou problem v principu vsech aplikaci pracujicich s...
  • Martin Hruška 17. 5. 2011 21:45:03
    Proto se všichni s mobilem hned přihlašujte do cizích wifi a stahujte si...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 46

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

** Legendární hra Starcraft je nyní k dispozici zdarma ** Chystá se i nová remasterovaná verze s hezčí grafikou

19.  4.  2017 | Jakub Čížek | 25

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

** Máte nápad, ale chybí vám stroje a pořádná dílna? ** Chcete postavit ptačí budku, nebo krabičku pro Arduino? ** Brno otevřelo svůj FabLab – laboratoř pro bastlíře

19.  4.  2017 | Jakub Čížek | 31

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

Včera | Jakub Čížek | 94

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

** Google ve svém překladači roky používal statistickou technologii ** Nyní zavádí strojové učení a neuronové sítě ** Rozdíl by měl být zvláště na větších textech patrný už nyní

20.  4.  2017 | Jakub Čížek | 31


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Co dokáží inteligentní domy?