99% устройств с android уязвимы до кражи паролей уязвимости безопасность


Специалисты из немецкого Ульмского университета выяснили, что все устройства под управлением Android до версии 2.3.4 имеют уязвимость, позволяющую злоумышленником узнать пароли от веб-сервисов, в которых регистрировался пользователь. Проблема связана с протоколом авторизации ClientLogin, применяемом в этих версиях Android. При регистрации на каком-либо веб-сайте, где требуется логин и пароль - будь то социальная сеть или электронная почта - на устройстве сохраняется цифровая метка, так называемый authToken. Метка эта пересылается в незашифрованном виде в виде простого текста, так что злоумышленнику её несложно перехватить и зайти в этот веб-сервис от имени владельца устройства. «Мы хотели выяснить, возможно ли осуществить атаку против сервисов Google с подделкой личности, и начали экспериментировать, - говорят исследователи. - Вкратце ответ таков: да, возможно, и довольно просто». В Google уже признали эту проблему и выпустили патч, но вот беда: он работает только на Android 2.3.4 и выше. Это всего лишь 1% от всех Android-устройств.