גרסאות אנדרואיד לפני גרסה 2.3.4, הזמינות למשך מספר ימים, כולן חשופות במידה רבה להתקפות טריוויאליות למדי,חושף מחקר מאוניברסיטת Ulm, גרמניה. אלו, למעשה, מנגנוני האימות של שירותי גוגל שנחשפים. אלה הם בלב מערכות אנדרואיד. כאשר תוכנה צריכה לאמת, היא משתמשת בפרוטוקול ClientLogin, ששולח בקשה, מוצפנת (https), המאוחסנת באסימון אימות (authToken). זה נשאר בתוקף למשך 14 יום ללא בקשת אישור נוספת.
לכן, ברגע שמשתמש משתמש בשירותי אינטרנט, למשל, מרשת WIFI ציבורית או לא מאובטחת, מסתבר שזה טריוויאלי יחסית לרחרח את ה-authToken הזה ולהשיג גישה לכל השירותים הקשורים: לוח שנה, אנשי קשר, אלבומים.עצה של חוקרים למשתמשים: עדכן לאנדרואיד 2.3.4, שתיקן את הפגם הזה, או הימנעו מרשתות WIFI פתוחות כמו המגיפה.
מָקוֹר
