99.7% điện thoại Android làm lộ tài khoản người dùng
Lỗ hổng bảo mật này được cho là có nguồn gốc từ lỗi trong giao thức xác thực ClientLogin của Google , để kiểm tra việc truyền thông giữa thiết bị Android và những ứng dụng .
Để dùng ClientLogin , ứng dụng yêu cầu dấu hiệu xác nhận (authToken) từ dịch vụ của Google thông qua mật khẩu và tài khoản qua kết nối HTTPS . authToken trở lại có thể được dùng trong bất kì những yêu cầu sau đó tới dịch vụ API và duy trì tính hợp lệ lên tới 2 tuần mà không giới hạn bất kì giao dịch nào hoặc thông tin của thiết bị đặc biệt nào .
Điều này không có vấn đề gì nếu như những kẻ tấn công không lấy được authToken . Tuy nhiên vấn đề ở đây là có nhiều ứng dụng có thể gửi dữ liệu qua kết nối HTTP không mã hóa vì thế có thể dễ dàng lấy được authToken bằng những tiện ích phần mềm như Wireshark , mà có thể được dùng để truy cập thông tin của bạn .
Những nhà nghiên cứu giải thích “ Ví dụ đối thủ có thể truy cập được đầy đủ tới Calendar , thông tin Contact hoặc những Album web cá nhân của người dùng Google . Điều đó cho phép đối thủ của mình có thể xem , thay đổi và xóa bất kì thông tin vào trong đó thậm chí cả những bức ảnh cá nhân .”
![\"\"](\"http://tuvantinhoc1088.com/media/images/Google/authToken_flaw.JPG")
Wireshark hiển thị ClientLogin authToken trong dữ liệu APU yêu cầu tới Picasa Web Albums
Bên cạnh việc đánh cắp những thông tin người dùng , tin tặc còn nhắm tới những Contact của nạn nhân “ Tin tặc có thể thay đổi mà người dùng khó phát hiện ra . Ví dụ chúng có thể thay đổi địa chỉ email của người lãnh đạo hoặc đối tác kinh doanh của nạn nhân để hy vọng lấy được những thông tin kinh doanh bí mật “.
Do authToken lại không thay đổi từ 2 tới ba tuần cho phép tin tặc thu thập nhiều dữ liệu trong phạm vi lớn tại những điểm truy cập không dây không an toàn và dùng ở những vị trí khác nhau . Các nhà nghiên cứu đang yêu cầu Google hạn chế thời gian tồn tại của authToken và thêm loại bỏ những yêu cầu dựa trên ClientLogin từ những kết nối không an toàn .
Lỗ hổng bảo mật trên có trong tất cả những phiên bản Android 2.3.4 ( Gingerbread ) trở về trước . Các nhà nghiên cứu khuyến cáo không nên truy cập tới những mạng WiFi công cộng .
![\"\"](\"http://tuvantinhoc1088.com/media/images/qcao.GIF")
