Android-mobiler lekker adgangspass

Kan gi ondsinnede tilgang til brukerens Google-data.

Forskerne Bastian Könings, Jens Nickels og Florian Schaub ved Universität Ulm i Tyskland skriver i en rapport om en svakhet i autentiseringsmekanismen ClientLogin, som benyttes av blant annet en del forhåndsinstallerte Android-applikasjoner til å få tilgang til for eksempel kalender- og kontaktdata knyttet til brukerens Google-konto.

Ved innloggingen sendes brukernavn og passord over en kryptert HTTPS-forbindelse, men autentiseringstegnet (authToken) som mottas i retur sendes over en ikke-kryptet HTTP-forbindelse. Dersom brukeren av mobilen benytter et åpent, trådløst nettverk (WLAN), skal det ifølge de tyske forskerne være relativt enkelt for uvedkommende å få fange opp authToken-et. Det er gyldig i to uker, uten å være knyttet til noen spesiell enhet eller arbeidsøkt, noe som gjør det mulig for uvedkommende å utgi seg for å være den opprinnelige brukeren. Dermed vil den uvedkommende kunne på tilgang til alle personlige brukerdata som tilbys av tjenesten som authToken er knyttet til.

Ifølge de tyske forskerne benyttes ClientLogin, sammen med ikke-kryptert retur av authToken, av i alle fall Calendar Sync, Contacts Sync og Picasa Sync (Gallery) av de fleste eldre Android-versjoner.

Autoriseringsprosessen til Google ClientLogin. Det er forbindelsen som er merket 7. som er problemet.
Autoriseringsprosessen til Google ClientLogin. Det er forbindelsen som er merket 7. som er problemet. Bilde: Google

Google har rettet problemet i Android 2.3.4 og 3.0, men bare når det gjelder kalender- og kontaktdataene. Picasa Sync, som ble innført med Android 2.3.3, er ennå ikke fikset. Eldre versjonen er Android 2.1 har ikke blitt testet.

Det er ikke mange Android-enheter som i dag, via offisielle kanaler, har tilgang til versjon 2.3.4 av operativsystemet. Mange vil aldri få de. Brukerne av disse enhetene anbefales å skru av automatisk synkronisering av programvaredata når åpne WLAN-soner benyttes. Eventuelt kan VPN- eller SSH-tunnelering benyttes, dersom man har tilgang til slike tjenester.

Forskerne ved Universität Ulm, men også Google selv, anbefaler at den sikrere OAuth-protokollen benyttes av applikasjonsutviklere, istedenfor ClientLogin. Forskerne skriver også at Google bør drastisk redusere levetiden til authToken og kreve at forbindelsene benytter HTTPS. De foreslår også at Android kun bør kunne utføre automatisk synkronisering via beskyttede nettverk.

Til CNET News sier en representant for Google at selskapet er klar over problemet og at selskapet jobber med å løse det også i Picasa.

Til toppen