Skip to main content

الباحثون يكتشفون تسرب بيانات Android: ما تحتاج إلى معرفته

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك]

دعونا نتعرف على ما نعرفه لمعرفة:

ما المشكلة؟

تستخدم العديد من تطبيقات Android على Google طريقة تُسمى ClientLogin لتفويض نقل البيانات الحساسة إلى الخدمات المستندة إلى الويب. يستخدم ClientLogin الرموز المميزة للتأليف لتمرير تسجيل دخول المستخدم وكلمة المرور من خلال اتصال https آمن بخدمة ويب ، مثل تقويم Google أو جهات الاتصال المتزامنة.

المشكلة ، وفقًا لباحثين في معهد تقنيات الوسائط بجامعة أولم ، تحدث بمجرد الرمز هو التحقق من صحة وعاد. ويمكن بعد ذلك استخدامه لمدة تصل إلى أسبوعين في الطلبات من خلال اتصالات HTTP غير الآمنة ، مما يجعلها عرضة للسرقة من أحد المتسللين عبر شبكة Wi-Fi.

ما هي المخاطر؟

يمكن للهاكر استخدام الرمز المسروق للوصول إلى التقاويم أو جهات الاتصال أو صور بيكاسا. يمكن للمتسلل بعد ذلك سرقة أو تعديل المعلومات داخل هذه الخدمات. هل تعتقد أن هناك تجسسًا شخصيًا أو مطارداً شخصياً.

من المتأثر؟

تنطبق المشكلة على جميع إصدارات Android قبل 2.3.4 لجهات الاتصال والتقاويم ، بما في ذلك 2.3.4 لـ alpsbums على الويب بيكاسا. يقول الباحثون إنه ينطبق على 99.7 بالمائة من هواتف Android ، وهو أمر غير دقيق لأن البيانات التي يستخدمونها تحسب فقط المستخدمين الذين دخلوا مؤخرًا إلى Android Market. ومع ذلك ، من الآمن القول بأن الغالبية العظمى من هواتف Android تتأثر.

ما هي احتمالية التعرض للهجوم؟

هناك فرك. يتطلب الهجوم أن يكون المستخدم والمتسلل على نفس شبكة Wi-Fi. يصف الباحثون إمكانية وجود شبكات توأم شريرة ، والتي تحاكي نقاط وصول Wi-Fi الشائعة مثل تلك الموجودة في ستاربكس ، لكن التهديد الأكثر احتمالًا يأتي من شبكة Wi-Fi غير الآمنة العادية.

وحتى ذلك الحين ، نحن نتحدث عن مخترق من يجلس بالقرب من القصد الوحيد لسرقة البيانات. مثل أداة Firesheep للقرصنة التي سببت ضجة في العام الماضي ، هذه المسألة مخيفة للتفكير ، لكن التعرض لهجوم غير محتمل للغاية بالنسبة للمستخدمين العاديين.

ماذا يمكن أن يفعل المستخدمون؟

أفضل شيء ما عليك فعله هو الالتزام بشبكات Wi-Fi آمنة. في إعدادات Android ، يمكنك أيضًا إيقاف تشغيل المزامنة التلقائية عند الاتصال لفتح Wi-FI. سيؤدي تحديث Android 2.3.4 إلى حل معظم المشاكل - على الرغم من أن معلومات Picasa لا تزال عرضة للخطر - ولكن هذا بالكامل في أيدي شركات الاتصالات اللاسلكية وصانعي الهواتف.

هل يجب أن تفعل Google شيئًا ما؟

يملك الباحثون العديد منها لـ Google ، بما في ذلك المطالبة بتبديل جميع التطبيقات وخدمات المزامنة إلى https ، مثلما فعل تقويم Google وجهات الاتصال في Android 2.3.4. كما يوصون أيضًا بأن تنتقل Google إلى خدمة تفويض أكثر أمانًا مثل OAuth ، وتحد من عمر الرموز المميزة للمصادقة ، وترفض طلبات ClientLogin لاتصالات http وإنشاء طريقة للحد من اتصالات Wi-Fi التلقائية بالشبكات المحمية.

Follow Jared on

Facebook و Twitter لمزيد من الأخبار والتعليقات التقنية.