Безопасность – понятие относительное, когда речь заходит о цифровых коммуникациях, напомнили немецкие исследователи, протестировавшие ОС Google Android. Как оказалось, 99,7% всех «дроидов» не защищены от краж персональной информации и кодов доступа, если пользователи подключены к интернету через незащищенные сети Wi-Fi.

Проблема состоит в алгоритме работы некоторых приложений для Android с «облачными» серверами. Исследователи обнаружили, что приложение передает на сервер имя и пароль пользователя по защищенному каналу, чего нельзя сказать об обратно получаемом жетоне аутентификации со сгенерированной информацией, которую хост-компьютер использует вместо традиционного пароля.

Жетон (карточка) аутентификации передается незащищенным и его легко украсть. Поскольку эта информация является действительной до двух недель, у злоумышленника есть время на синхронизацию данных со смартфона пользователя (календарь, контакты и т.д) на собственные устройства.

Исследователи тестировали различные смартфоны, от разных производителей и работающие под управлением разных версий ОС Android. Они обнаружили, что уязвимы абсолютно все устройства с ОС до версии v2.3.3, а приложение Gallery (разработанное не Google, а сторонней компанией) использует небезопасный метод передачи данных даже в последней версии Android. К сожалению, уязвимы не только родные приложения Android, но и программы сторонних разработчиков, так что патчи необходимы для всех.