Anonim

ClientLogin wurde entwickelt, um die Sicherheit zu erhöhen, indem Authentifizierungstoken anstelle Ihres Benutzernamens und Kennworts verwendet werden. Apps wie Google Kalender senden Ihre Anmeldedaten an die Server von Google und erhalten ein Token, mit dem die Verbindung hergestellt werden kann. Die Gültigkeitsdauer beträgt maximal zwei Wochen.

Theoretisch bedeutet dies, dass Ihr Konto sicherer ist, da Ihre Anmeldedaten nicht ständig über das Netzwerk gesendet werden. Die Forscher stellten jedoch fest, dass Token über unverschlüsselte Verbindungen gesendet werden, sodass ein Angreifer sie kopieren und selbst verwenden kann.

Also, wie ernst ist das? Angreifer könnten möglicherweise Token sammeln, indem sie ein Wi-Fi-Netzwerk mit einem häufig verwendeten Namen wie „Starbucks“ einrichten, da Android-Telefone standardmäßig Verbindungen zu zuvor bekannten Netzwerken herstellen. Der Angreifer kann dann Token sammeln und diese für den Zugriff auf Ihre Daten verwenden, was schwerwiegende Auswirkungen haben kann.

n

Jeder, der Zugriff auf Ihren Kalender oder Ihre Kontakte hat, kann die Daten nicht nur lesen, sondern auch ändern, und Sie bemerken es möglicherweise nicht einmal. Zum Beispiel schlagen die Forscher vor, dass ein Angreifer die gespeicherte E-Mail-Adresse Ihres Chefs ändern könnte, in der Hoffnung, vertrauliche Informationen über sein Geschäft zu erhalten.

Google hat den Exploit in der neuesten Version von Android 2.3.4 behoben. Aufgrund der Offenheit des Betriebssystems verwenden die meisten Telefone jedoch immer noch eine frühere Version. Jeder Hersteller von Android-Handys und jedes Mobilfunknetz muss eine eigene Version des Updates herausgeben, was manchmal Monate dauern kann.