Google, Google Takvim, Facebook, Twitter veya diğer servislerin kullanıcı adı ve şifrelerinin üçüncü partilerce ele geçirilip kullanılmasına neden olabilecek bir Android açığının kapatılması üzerine çalıştığını itiraf etti.
Almanya Ulm Üniversitesi’nden bir grup araştırmacı Android’in on dört güne kadar geçerliliğini koruyan giriş kimliği barındıran şifresiz metin yetkilendirme sembolleri kullanmakta olduğunu keşfetmişti. Eğer Android cihazı şifrelenmemiş bir WiFi ağı üzerinden internete bağlanırsa, söz konusu giriş verilerine erişmek mümkün oluyor. Bu verilerin analiz edilmesinin sonucunda ise kullanıcının hesaplarına izinsiz giriş sağlanabiliyor.
Söz konusu açığı kullanmak isteyen kötü niyetli kişiler sık kullanılan bir SSID adına sahip ve erişime açık bir WiFi ağı kurarak Android cihazlarını bu ağ üzerinden internete çıkmaları için etkileyebilir. Android cihazlarının varsayılan ayarlarına göre, Android cihazları daha önce bilinen bir ağa otomatik olarak bağlanıyor ve birçok uygulama anında senkronizasyon işlemlerine başlıyor. Kurbanını ağa düşürmeye çalışan kötü niyetli kişi izin vermediği sürece senkronizasyon işlemi başarısız olacaktır, ancak bu süreçte her bir sosyal ağ servisinin senkronizasyon girişimi sırasında oluşturulan yetkilendirme sembolleri kötü niyetli kişilerin eline çoktan geçecektir.
Google, Android 2.3.4 ile birlikte bu açığı büyük ölçüde kapattığını belirtiyor, ancak Picasa hâla şifresiz metin yöntemini kullanmaya devam ediyor. Arama devi mühendislerinin çözüm için sıkı bir şekilde çalıştığını belirtiyor. Ancak söz konusu problem 2.3.4 ile birlikte giderilmeye başlanmışsa, mevcut birçok Android cihaz kullanıcısı tehlike altında demektir. Şu anda piyasada veye kullanımda olan cihazların çoğu Android 2.2 vey 2.3 sürümüyle çalışmakta.
Siz siz olun, güvenli olmayan WiFi bağlantı noktalarına bağlanırken bir kez daha düşünün.
İlgili – The Register