Google bo varnostno napako Androida popravil na lastnih strežnikih

ReadWriteWeb - Pred dnevi je na splet prišla vest, da ima velika večina vseh naprav z nameščenim Androidom veliko varnostno luknjo. Vse izdaje do in vključno z različico 2.3.3 imajo ranljivost v storitvah Picasa, Calendar in Contacts, možno pa je, da enaka ranljivost obstaja tudi pri drugih servisih. V primeru prijave na eno izmed storitev prek nezaščitenega, odprtega brezžičnega omrežja WLAN lahko zlikovci z vohljanjem za paketki prejmejo dostop do storitve pod vašim uporabniškim imenom, s tem pa tudi dostop do vaših podatkov. Zaradi kriptirane povezave pri zaščitenih omrežjih WLAN kljub poznavanju gesla le-tega vohljanje ni mogoče. Najnovejša izdaja Gingerbreada, Android 2.3.4 in vse izdaje Honeycomba, torej Android 3.0, 3.0.1 in 3.1, te ranljivosti nimajo, a je njihova razširjenost med napravami močno omejena oz. skoraj zanemarljiva.

Popravek bo Google izvedel sam na lastnih strežnikih, brez da bi postopek moral skrbeti končne uporabnike, saj se na njihovih mobilnih telefonih ne bo spremenilo nič. Tako ne bo nadgradnje operacijskega sistema prek zraka, saj priprava in preverjanje izdaje pri proizvajalcih ter operaterjih traja bistveno predolgo. Namesto tega so pri Googlu z apliciranjem popravka začeli v omejenem obsegu že včeraj, vse uporabnike pa bodo na varnejšo različico storitev prestavili najkasneje v nekaj dneh.

Sam popravek je enostaven, saj bodo potrdilo o pravilnih prijavnih podatkih (authToken) namesto po običajni, nezaščiteni povezavi HTTP od zdaj naprej pošiljali prek kriptirane povezave HTTPS. To spremembo bo uveljavljal Googlov strežnik, kar tudi pojasni, zakaj ne bo potrebna nadgradnja mobilnih telefonov. Žal bosta popravka zaenkrat deležna zgolj Calendar in Contacts, medtem ko način rešitve varnostne luknje v primeru Picase še rešujejo.

Pazite na vsebino slik, ki jih delite prek Picase na nezaščitenem omrežju priljubljene kavarne.