Još jedan dan, još jedan sigurnosni strah. Trebate li biti zabrinuti zbog ovoga? Ovdje saznajte istinu.
Sigurnosna ranjivost u nekim Googleovim aplikacijama na Androidu opet je sve uzburkala, pa pogledajmo ovo iz perspektive. U ovom ćemo članku objasniti zašto je prijetnja prenapuhana, a nije čak ni specifična za Android.
Ažuriraj: A osim toga, popravak je već implementiran.
U slučaju da ste propustili, istraživači u Njemačkoj otkrili su da ako spoje dio hardvera koji se zove njuškalo paketa na nezaštićenu WiFi mrežu mogao vidjeti "autorizacijske tokene" koji se jasno prenose poslužiteljima koje koriste određene aplikacije poput Googlea Kalendar.
Token je dugačak niz znakova koji poslužitelj stvara i koristi umjesto vaše lozinke (koja se drži u tajnosti). Napadač koji promatra ovaj token može napisati program koji ga koristi da bi se pretvarao da ste vi na ograničeno vrijeme. Na primjer, ako se povežete na poslužitelj s verzijom Google kalendara s greškama dok netko u blizini gleda, tada može čitati i pisati stavke u vašem kalendaru.
Ova vrsta ranjivosti dobro je poznata i mnoge su aplikacije naišle na nju tijekom godina. Na primjer, Facebook i Twitter imali su isti problem. Njihovo je rješenje bilo uključiti enkripciju cijelo vrijeme, a ne samo za početnu razmjenu lozinki. Enkripcija povećava opterećenje poslužitelja i klijenta, ali očito se u ovom slučaju isplati.
Priča privlači veliku pozornost jer je primijećena na Androidu, ali to zapravo nije ranjivost Androida. To je sigurnosna pogreška u svakom programu koji ne šifrira svoje autorizacijske tokene. Google kalendar, kontakti i galerija, koji su bili isporučeni u svim verzijama Androida prije 2.3.4, tri su takva programa. Možda postoje i drugi. Dodatak Kalendar za Mozilla Thunderbird, koji je program koji radi na PC-u, Mac-u i Linuxu je još jedan. GMail NIJE pogođen. Nitko nije pronašao problem ni u bankarskim i shopping programima.
Kad sam prvi put pročitao o problemu, pomislio sam "mah, ništa strašno", ali gledajući današnju reportažu pomislili biste da svijet dolazi i smakne (imamo vremena do 21. svibnja, sjećate se?). Evo nekoliko primjera (naglasak moj):
- Članak SJVN-a, "Android ima VELIKU RUPU U MREŽNOJ SIGURNOSTI“, kaže da je napad „prilično lak“ i govori nam „tako smo napuhani“. On nastavlja govoreći "Google, proizvođači Android pametnih telefona i tableta te telekomunikacije to moraju popraviti. Sada." Prije svega, to nije problem Androida, a nazvati ga "zjapljenjem" znači pretjerati ozbiljnost. Napad bi zahtijevao poseban hardver i/ili softver, a da ne spominjemo fizičku blizinu i nezaštićenu mrežu. Očito su svi sigurnosni problemi ozbiljni i treba ih riješiti.
- Članak Adriana Kingsley-Hughesa, "99,7% svih Android pametnih telefona ranjivo je na OZBILJNO CURENJE PODATAKA", kaže da "Nevjerojatnih 99,7% Android pametnih telefona curi podatke za prijavu na Googleove usluge". Pa ne. Neke aplikacije koje se izvode na Android telefonima, osobnim računalima i Mac računalima mogu potencijalno propuštati tokene za provjeru autentičnosti u pravim okolnostima. Vaši podaci za prijavu, pri čemu mislim na vaš korisnički ID i lozinku, nisu procurili. Adrian to priznaje u drugom odlomku, ali hej, tko čita toliko daleko.
- Članak Glorije Sin, "Većina Android uređaja RANJIVA NA PREPOZNAVANJE KRAĐE", upozorava da su "usluge temeljene na webu kao što je GMail" ranjive zbog "načina na koji Android uređaji obrađuju podatke za prijavu". To nije u redu. Operativni sustav Android ne radi ništa s vašim podacima za prijavu, to su neke aplikacije koje rade na Androidu, PC-u i Macu. Nadalje, ova pogreška ne utječe na GMail. Gloria pogoršava situaciju tvrdeći da "problemi mogu nastati ako hakeri promijene zaporku osobe koja ništa ne sumnja, do pristupa osjetljivoj e-pošti i privatnim fotografijama." Ne, fotografije možda, ali zaporke i e-pošta su sigurni. Ovdje nema ničega što bi pomoglo nekome da vam ukrade identitet.
Trebate li se zabrinuti? Sve dok zakrpa ne bude dostupna (bilo putem Marketa ili ažuriranja Androida), problem se može izbjeći neupotrebom zahvaćenih aplikacija u ranjivoj situaciji. Što je ranjiva situacija? Na temelju informacija koje imamo do sada, AKO sinkronizirate svoj kalendar ili kontakte dok koristite otvoreni WiFi lokalnog StarBucksa ili zračne luke, i AKO netko unutar 50 stopa od vas čeka da to učinite i pokreće njuškanje paketa, i AKO mislite da bi mogao naštetiti gledajući vaš termine kod liječnika i telefonski broj dečka, ONDA biste trebali poduzeti mjere opreza kao što je isključivanje WiFi-a dok se ne vratite kući na svoje sigurno mreža. Inače, po mom mišljenju, ne vrijedi se previše nervirati.
Ažuriraj: Google je razvaljivanje popravka već na problem, za sve telefone i računala. Prema riječima glasnogovornika,
"Danas [18. svibnja] počinjemo s uvođenjem popravka koji rješava mogući sigurnosni propust koji mogao, pod određenim okolnostima, dopustiti trećoj strani pristup podacima dostupnim u kalendaru i kontakti. Ovaj popravak ne zahtijeva nikakvu radnju korisnika i pokrenut će se globalno tijekom sljedećih nekoliko dana."
Popravak je na strani poslužitelja i popravit će sve osim Picase. Trenutačni autentifikacijski tokeni bit će izbrisani i zamijenjeni novima nakon ponovne prijave na zahvaćenu uslugu. Go godget, trenutno ažuriranje u oblaku!