Androidista löytynyt tietoturva-aukko
Turvallisuus on suhteellinen käsite nykypäivän digitaalisessa tietoliikenteessä, kuten saksalaiset tutkijat huomasivat laitettuaan Googlen Android-käyttöjärjestelmän testiin. Kuulemma jopa 99,7% kaikista Android-laitteista saattaa lähettää käyttäjäkohtaista Google-todennusavainta aina kun laite on yhdistettynä suojaamattomaan WiFi-verkkoon.
Ongelman ydin piilee siinä, kuinka Androidin sovellukset kommunikoivat niin sanottujen pilvipalvelimien kanssa. Sovellukset lähettävät käyttäjätunnuksen ja salasanan serverille salattuna, jonka jälkeen palvelin lähettää vastineeksi todennusavaimen takaisin laitteelle. Avaimen funktio on se, että sovelluksen ei tarvitse kirjautua jatkuvasti uudestaan kun se tekee pyyntöjä palvelimelle.
Todennusavaimen siirto tapahtuu kuitenkin useimmiten ilman mitään suojausta, mikä tekee siitä erittäin helpon kohteen varastaa. Aina kahteen viikkoon asti voimassa olevalla varastetulla todennusavaimella voi hyökkääjä esimerkiksi ladata kalenterien synkronointitiedot omalle laitteelleen.
Lisätietoa löytyy tutkijoiden alkuperäisestä blogipostauksesta, kertoo GSM-Arena.
Keskustelut (0 viestiä)
Kirjoita kommentti