Специалисты из немецкого Ульмского университета выяснили, что все устройства под управлением Android до версии 2.3.4 имеют уязвимость, позволяющую злоумышленником узнать пароли от веб-сервисов, в которых регистрировался пользователь.
Проблема связана с протоколом авторизации ClientLogin, применяемом в этих версиях Android. При регистрации на каком-либо веб-сайте, где требуется логин и пароль — будь то социальная сеть или электронная почта — на устройстве сохраняется цифровая метка, так называемый authToken. Метка эта пересылается в незашифрованном виде в виде простого текста, так что злоумышленнику её несложно перехватить и зайти в этот веб-сервис от имени владельца устройства.
«Мы хотели выяснить, возможно ли осуществить атаку против сервисов Google с подделкой личности, и начали экспериментировать, — говорят исследователи. — Вкратце ответ таков: да, возможно, и довольно просто».
В Google уже признали эту проблему и выпустили патч, но вот беда: он работает только на Android 2.3.4 и выше. Это всего лишь 1% от всех Android-устройств.