Många Androidmobiler är öppna för attack

2011-05-18 11:42  
Xperia Neo - försenad.

Tyska forskare har upptäckt ett säkerhetshål i Android som gäller nästan alla mobiler på marknaden. Genom en enkel attack går det att komma åt användarens kontakter, kalender och bilder.

Det är säkerhetsforskare vid universitetet i Ulm som undersökt säkerhetshålet i Android.

Luckan som kan utnyttjas när mobilerna ansluts till ett trådlöst nät (wifi), gäller mobilernas synkronisering mot Googles nätbaserade tjänster med kontakter och kalender samt Googles fototjänst Picasa.

Androidmobiler kopplar regelbundet upp sig mot dessa tjänster och skickar via en krypterad förbindelse användarnamn och lösenord enligt protokollet "ClientLogin authentication protocol".

I retur kommer en så kallad "authToken", en liten nyckelfil som fungerar för access till tjänsterna upp till två veckor.

Problemet är att nyckelfilen skickas via en okrypterad förbindelse och kan snappas upp.

En attack går enligt forskarna till så att man sätter upp en accesspunkt för wifi och ger den ett vanligt namn. Mobilerna ansluter då automatiskt till accesspunkten om de känner igen namnet och försöker genast synkronisera med hjälp av nyckelfilen.

Synkroniseringen misslyckas men nyckelfilen har skickats och hamnat i händerna på den som satt upp det falska wifi-nätet.

Med filen får angriparen full tillgång till användarens kontakter och kalender hos Google, och även bilder på Picasa.

Enligt Google har problemet åtgärdats från version 2.3.4 av Android för mobiler och 3.0 för pekdatorer. Över 99 procent av Androidapparaterna på marknaden har dock äldre versioner.

Rådet från säkerhetsforskarna är att uppdatera till de senaste versionerna av Android, men beroende på tillverkare är detta inte alltid möjligt att göra omedelbart.

Till dess bör Androidanvändare undvika att logga in på öppna wifi-nät, det vill säga sådana som inte kräver lösenord.

Mats Lewan

Mer om: Säkerhet Android

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt