Fast alle Android-Handys "lecken" sensible persönliche Daten, zeigen Tests - Android - 2018

Anonim

Die Datenschutzprobleme von Google sind nur schlimmer geworden. Laut einer Studie von Forschern an einer deutschen Universität können mehr als 99 Prozent aller Smartphones, auf denen Googles Android-Betriebssystem läuft, leicht von mobilen Hackern infiltriert werden. Die Angreifer können dann die "durchgesickerten" Daten verwenden, um sich als rechtmäßige Benutzer auszugeben, und auf Online-Konten wie Google Kalender, Twitter und Facebook zugreifen.

Laut den Forschern der Universität Ulm, Bastian Konings, Jens Nickels und Florian Schaub, ist die Android-Sicherheitslücke auf eine unsachgemäße Implementierung des ClientLogin-Protokolls zurückzuführen, das in den Android-Versionen 2.3.3 und früher, Reports The Register, verwendet wird . Sobald ein Benutzer seine Anmeldeinformationen übermittelt, erhält ClientLogin ein Authentifizierungstoken, das als Klartextdatei gesendet wird. Da das Authentifizierungstoken (authToken) bis zu 14 Tage lang wiederholt verwendet werden kann, können Hacker auf die in der Datei gespeicherten Informationen zugreifen und sie für ihre schändlichen Gebote verwenden.

"Wir wollten wissen, ob es wirklich möglich ist, einen Identitätsattentat gegen Google-Dienste zu starten, und haben unsere eigene Analyse gestartet", schreiben die Forscher auf ihrem Blog. "Die kurze Antwort lautet: Ja, es ist möglich, und das ist ganz einfach. Darüber hinaus ist der Angriff nicht auf Google Kalender und Kontakte beschränkt, sondern ist theoretisch bei allen Google-Diensten möglich, die das ClientLogin-Authentifizierungsprotokoll für den Zugriff auf ihre Daten-APIs verwenden. "

So schlimm dies für Android-Nutzer klingt, kann diese Art von Angriff nur durchgeführt werden, wenn das Android-Gerät ein ungesichertes Netzwerk wie einen WLAN-Hotspot verwendet, um Daten zu senden. Die Forscher sagen, dass Hacker einen solchen Angriff ausführen könnten, wenn ein Gerät mit einem Netzwerk verbunden ist, das unter ihrer Kontrolle steht.

"Um solche authTokens in großem Umfang zu sammeln, könnte ein Angreifer einen Wifi-Zugangspunkt mit einer gemeinsamen SSID (böser Zwilling) eines unverschlüsselten drahtlosen Netzwerks einrichten, z. B. T-Mobile, attwifi, starbucks", schreiben die Forscher. "Mit den Standardeinstellungen verbinden sich Android-Telefone automatisch mit einem bereits bekannten Netzwerk und viele Apps versuchen sofort, sie zu synchronisieren. Während die Synchronisierung fehlschlägt (es sei denn, der Angreifer leitet die Anfragen weiter), erfasst der Angreifer authTokens für jeden Dienst, der die Synchronisierung versucht hat. "

Die Forscher schlagen eine Reihe von Möglichkeiten vor, das Problem zu beheben, sowohl für App-Entwickler als auch für Google- und Android-Nutzer. Entwickler, deren Apps ClientLogin verwenden, sollten sofort zu https wechseln, sagen die Forscher. Und Google sollte die Lebensdauer des Authentifizierungstokens begrenzen und automatische Verbindungen nur auf geschützte Netzwerke beschränken. Android-Nutzer sollten ihre Geräte so schnell wie möglich auf 2.3.4 aktualisieren und die automatische Synchronisierung deaktivieren, wenn sie sich mit Wi-Fi verbinden, oder ungesicherte Wi-Fi-Netzwerke vollständig meiden.