Android har sikkerhedshul

Artiklen blev oprindeligt publiceret den 18/5/2011

Et sikkerhedshul i Android kan give uvedkommende adgang til fortrolige oplysninger. Hullet er delvis lukket i den nyeste version.

En gruppe sikkerhedsforskere fra universitetet i Ulm har undersøgt, om de kunne få adgang til data fra mobiltelefoner med styresystemet Android. Når telefonen anvender et trådløst netværk uden kryptering eller med delt nøgle, kan man opsnappe de data, den sender og modtager.

En række applikationer på telefonen sender data ukrypteret. Dermed kan uvedkommende få adgang til dem.

Forskerne har dokumenteret, at det er muligt at udnytte de opsnappede data til at give sig ud for at være telefonens ejer. På den måde kan man logge ind på vedkommendes Google Calendar og i teorien også andre Google-tjenester.

De nyeste versioner af Android, 2.3.4 og 3.0, anvender krypteret kommunikation over HTTPS i kommunikationen med Calendar og Contacts. Derimod er kommunikation med Picasa fortsat ukrypteret.

Anbefaling
Undlad at bruge tjenesterne på ukrypterede lokalnet, hvis telefonen har en ældre version af Android.

Links

• Artikel af forskerne fra Ulm Universität
• Artikel fra The H Security