Google исправила критическую уязвимость в Android

image

Теги: Google, Android, уязвимость

Корпорация Google оперативно отреагировала на недавно опубликованный доклад немецких исследователей о наличии серьезных "дыр" в системе безопасности 99% смартфонов на базе операционной системы Android.

Корпорация Google оперативно отреагировала на недавно опубликованный доклад немецких исследователей о наличии серьезных "дыр" в системе безопасности 99% смартфонов на базе операционной системы Android. Выпущенная "заплатка" исправляет работу протокола авторизации ClientLogin и запрещает третьим лицам получать доступ к календарю и списку контактов, когда устройство используется в публичной сети Wi-Fi.

Обновление Android версий 2.3.3 и ниже будет проведено автоматически в течение нескольких ближайших дней, никаких действий от пользователей не требуется, пишет All Things Digital. Эта уязвимость уже устранена в последних версиях Android - Gingerbread (2.3) и Honeycomb (3.0), - однако большинство "гуглофонов" работают под управлением более ранних версий платформы.

Брешь в системе безопасности Android заключалась в том, что третья сторона могла "перехватывать" так называемые жетоны авторизации (authToken), в которых в незашифрованном виде хранятся учетные данные пользователей для доступа к сервисам Google. Такие атаки могут быть проведены, если устройство используется в незащищенных сетях (к примеру, если оно подключено через публичный хот-спот Wi-Fi).

В качестве решения этой проблемы немецкие специалисты предложили тем приложениям, которые используют ClientLogin, немедленно перейти на зашифрованный http-канал, либо сделать выбор в пользу более надежного протокола oAuth. Они также посоветовали уменьшить срок хранения жетонов авторизации и отклонять запросы ClientLogin на небезопасные соединения по протоколу http.


или введите имя

CAPTCHA
Bravo
20-05-2011 12:06:48
Так я не понял, как мой 2.3.3 обновится?
0 |
Robot
20-05-2011 12:37:57
Когда купишь новый андрофон
0 |
paranoidchaos
20-05-2011 12:45:04
у мня месяц как 2.3.4 (Nexus One)
0 |
04982
23-05-2011 15:54:40
Быстрее всего имеется ввиду, что обновятся приложения использующие ClientLogin. Интересно, он обновится у всех, или только у тех, кто разрешил автообновление.
0 |