Haavoittuvuus koskee kaikkia Android-versioita aina 2.3.3 versioon asti. Ongelma on korjattu uusimmassa 2.3.4 versiossa. Koska vasta noin 1 prosentti Android-laitteista on päivitetty uusimpaan versioonsa, ongelma koskettaa 99 prosenttia koko laitekannasta. Asiaa tutkineen saksalaisen Ulmin yliopiston mukaan ongelman aiheuttaa käyttäjän tunnistamiseen käytetyn ClientLogin-protokollan puutteellinen toteutus.
Käyttäjän tunnistauduttua esimerkiksi Googlen kalenteriin synkronointia varten, sovellus hakee verkosta tunnistetiedoston, joka lähetetään verkon yli selväkielisenä. Tunnistetieto on voimassa 14 päivää ja sen avulla hyökkääjä voi palveluissa väärentää henkilöllisyytensä. Hyökkäys voidaan toteuttaa vain laitteiden ollessa kytkettynä avoimiin salaamattomiin verkkoihin, kuten julkisiin wlan-verkkoihin.
Uutinen ei ole omiaan vahvistamaan Androidin uskottavuutta esimerkiksi yrityskäyttöön soveltuvana alustana. Vaikka Google on jo korjannut ongelman älypuhelimille tarkoitetun Androidin uusimmassa versiossa, operaattoreiden ja laitevalmistajien omien päivitysten hitaus altistaa käyttäjät ongelmille vielä pitkään.
Kommentit (8)
1@ Lähdekoodit on ollut jo hyvän aikaa virallisesti jaossa. Itselläkin ollut tuo 2.3.4 jo reilun viikon n900:sessa :)
Jaksaakohan sitä venailla virallista Desiren 2.33 updatee vai pitääkö se Cyanogenmodi asentaa ;s
Ilmeisesti tässä CyanogenMod 7.0.3:ssa tämä haavoittuvuus on jo korjattu, vaikka tuo pohjautuu Android 2.3.3:n. Changelogi nimittäin kertoo, että vakava haavoittuvuus on korjattu.
Ios FTW!!
Ei kannata puhelinta pois heittää, vaikka valmistaja ei sille päivityksiä enää julkaisisi.
SSH Tunnel vain kehiin, ja meno on taas turvallista
https://market.android.com/details?id=org.sshtunnel&feature=search_result
(tai sitten välttelee suojaamattomia WLAN-verkkoja)
Ja TAAS. näitä uutisia tulee ihan jatkuvasti. reikiä kuin suivilässä...
@5, hyvä huomio, tarkensin tekstiä.
en ymmärrä miksen saa synkronoitua omia tietoja esim oman kotipalvelimeeni. Itse käytän symbaria mutta ongelma koskee kaikkia. Kaikki hyväksyy sen mutisematta että omat tiedot siirretään jonnekin pilveen ja jossa sitten kaikki pääsee tutkimaan jos haluaa.