Bezpečnostní chyba Androidu připomíná Dropbox

Před pár týdny jsem publikoval článek o tom, jak snadno získat totální přístup k datům cizího dropboxového účtu. Tehdejší slabinou byl nešifrovaný jedinečný identifikátor počítače registrovaného ve službě Dropbox. Kdokoliv cizí by takový identifikátor použil (zkopíroval ho z počítače nešťastníka, který si zrovna odešel na oběd), mohl by ze svého počítače udělat klon, který by přijímal z Dropboxu to samé co původní počítač.

Něčím pravděpodobně podobným trpí i Android při komunikaci se službami Googlu, ale principiálně i hromada dalších autentizačních služeb. Podobně jako populární OAuth používá Google svůj systém pro autorizaci přístupů ClientLogin. Princip těchto technologií spočívá v tom, že když bude chtít k vašemu účtu Googlu (nebo třeba Twitteru, Facebooku aj.) přistupovat cizí služba, přesměruje vás na stránky originální služby, kde se přihlásíte a služba pak získá pouze jedinečný identifikátor, díky kterému získá práva nakládat s vašimi daty. Výhoda je zřejmá – cizí služba se nedozví vaše heslo, dostane ale skrze identifikátor přístup k datům.

Takto to v mnoha případech funguje i na Androidu a zatím ku prospěchu všech. Pak si ovšem kdosi položil otázku, jestli by tento identifikátor stejně jako v případě Dropboxu nešlo nějakým způsobem získat. U mobilů by to bylo pro hackery relativně snadnější v případě, kdy budou lidé komunikovat v nějaké nezabezpečené bezdrátové síti, ve které by mohl záškodník odposlouchávat HTTP komunikaci.

Z teorie se stala praxe, když bezpečnostní odborníci zjistili, že hromada programů na Androidu komunikuje s Googlem zcela nezabezpečeně (žádná šifrovaná SSL komunikace) a v hlavičce HTTP dotazu tedy posílají i nezabezpečený unikátní identifikátor pro systém ClientLogin. Ten se přitom zasílá pokaždé, kdy program od Googlu něco žádá a stvrzuje tak, že k tomu má skutečně oprávnění. Kdokoliv by tedy tento identifikátor v nezabezpečené síti odchytil, získá stejně jako v případě Dropboxu práva k nakládání třeba s údaji v Google Kalendáři, na Picase a v dalších službách, které tento systém autentizace umožňují.

Klepněte pro větší obrázek
Inženýři z Ulmu použili k analýze v současné době asi nejpopulárnější „zachytávač paketů“ Wireshark. Zatmavená část je jedinečný identifikátr, který aplikaci otevře cestu ke všem datům na Googlu

Inženýři z univerzity v Ulmu otestovali všechny aktuální verze Androidu na přístup ke kontaktům (Gmail), kalendáři (Google Calendar) a k synchronizovaným fotkám (Picasa). Všechny verze nižší než 2.3.4 umožňují komunikaci aplikací s Googlem na nezabezpečeném HTTP, 2.3.4 a 3.0 pak už pro všechny případy používají SSL (HTTPS).

Máme se bát? V našich končinách to vzhledem k počtu hackerů na tisíc obyvatel asi nebude tak horký problém, nicméně potenciálně je chyba docela nebezpečná. Jediným řešením je tak snad pouze tlak na autory aplikací, kteří ClientLogin používají, aby striktně používali pro jakýkoliv přenos autorizačních informací SSL.

Témata článku: Google, Bezpečnost, Android, Dropbox, Google Calendar

12 komentářů

Nejnovější komentáře

  • tomikcz 23. 5. 2011 2:13:44
    zacnete uz prosim spravne rozlisovat mezi pojmem hacker a cracker. Nechci...
  • QuarkCZ 18. 5. 2011 9:58:22
    A neni toto nahodou problem v principu vsech aplikaci pracujicich s...
  • Martin Hruška 17. 5. 2011 21:45:03
    Proto se všichni s mobilem hned přihlašujte do cizích wifi a stahujte si...
Určitě si přečtěte

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

** Do Vancouveru se sjeli hackeři ** Soutěžili v útocích na prohlížeče ** Chrome odolal, ale Edge to projel na celé čáře

22.  3.  2017 | Jakub Čížek | 79

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

Obří Mechroboti jsou realitou, měří čtyři metry a mají hmotnost přes 1,5 tuny

** Jihokorejská společnost Hankook Mirae Technology vyrábí obří Mechroboty ** Jsou určené pro ovládání člověkem uvnitř ** V prodeji se objeví koncem tohoto roku za 200 milionů korun

20.  3.  2017 | Karel Javůrek | 18

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

** Pokud už choulostivé snímky vyfotíte, dbejte na jejich zabezpečení ** Útočníci je nejčastěji získají z cloudového úložiště ** Pozor si dejte i na phishing a řádné zabezpečení telefonu

Včera | Stanislav Janů | 34


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných sluchátek

Příslušenství do USB-C