Unikaj nieszyfrowanych sieci WiFi
Usterka polega ponoć na niepoprawnej implementacji protokołu ClientLogin w systemach Android 2.3.3 Gingerbread i wszystkich starszych. Usterka powoduje, że przez 14 dni nasze konto jest dostępne dla każdego, kto przechwyci token logowania.
Po tym, jak podamy w telefonie swój login do konta Google, Twittera, Facebooka czy innego obsługiwanego, telefon otrzymuje token o ważności 14 dni, który jest przesyłany w sposób nieszyfrowany, za pomocą czystego tekstu (“plain text”). Token wystarczy, by móc przez 14 dni mieć nielimitowany dostęp do naszego konta (lub zmianę hasła i posiadanie dostępu na dużo dłużej…). Ów token podsłuchać można dość łatwo, jeżeli posługujemy się publiczną siecią WiFi.
Jedyną radą jest korzystanie tylko i wyłącznie z szyfrowanych sieci bezprzewodowych i czekać na aktualizację systemu. Biorąc pod uwagę jednak ociężałość producentów telefonów i operatorów komórkowych, może upłynąć nieco czasu zanim (jak zakładamy) błyskawicznie opracowana przez Google’a łatka trafi do użytkowników końcowych…
Aktualizacja: Jak słusznie zauważył jeden z naszych Czytelników, sam token nie zdradza w sposób bezpośredni naszego loginu i hasła, a stanowi ich zamiennik. Czyli umożliwia zalogowanie się na konto Google i na powiązane z nim usługi bez potrzebny znajomości tych poświadczeń (login i hasło). Na jedno wychodzi, tym niemniej za korektę serdecznie dziękujemy.