Недостатки протокола аутентификации Google
Немецкие программисты нашли уязвимости в протоколе аутентификации Google. Уязвимы оказались пользователи Android, версий ниже 2.3.4 и 3.0. Дело в том, что при доступе в интернет через открытые Wi-Fi точки злоумышленник может перехватить доступ к некоторым сервисам Google.
Проблема оказалась в протоколе аутентификации ClientLogin, при котором логин и пароль пользователя не всегда отправляются по защищенному соединению HTTPS, к примеру, приложения Google Calendar и Google Contacts. А так как срок жизни аутентификатора достигает двух недель, имперсонализация не представляет особой проблемы. Остается только прослушивать трафик и ждать необходимый токен.
При перехвате аутентификатора злоумышленник может получить полный доступ к календарю, контактам и веб-альбомам пользователя, тем самым сможет удалять и изменять его информацию. Гугл вроде бы уже внес коррективы уязвимости в патч, но Галерея все еще использует HTTP-соединение и по прежнему остается уязвимой.
В этой ситуации остается только посоветовать пользователям Android обновиться до текущей версии, ну и по возможности избегать открытых Wi-Fi сетей.
Как обычно, напоследок выкладываю полезный сайт. IRR.ru - это сервис бесплатных объявлений в вашем городе. Например, чтобы купить автомобиль в Костромской области достаточно указать регион Кострома и вы будете видеть объявления только для своей области.
