La stragrande maggioranza dei dispositivi che eseguono il sistema operativo Android di Google sono vulnerabili agli attacchi che permettono di rubare le credenziali digitali utilizzati per accedere a calendari, contatti e altri dati sensibili memorizzati . Una ricerca condotta dai ricercatori universitari ha messo in evidenza la debolezza di un protocollo di autenticazione noto come ClientLogin Android in versione 2.3.3 e precedenti, i ricercatori della Università di Ulm in Germania che un utente invia le credenziali valide per Google Calendar, Contacts e forse altri account, l’interfaccia di programmazione recupera un token di autenticazione che viene inviato in chiaro. Poiché il authToken può essere utilizzato per un massimo di 14 giorni in tutte le richieste sul servizio, gli hacker possono sfruttare a ottenere accesso non autorizzato ai conti.
Google patchato il buco di sicurezza all’inizio di questo mese con il rilascio di Android 2.3.4 per un precedente bug, anche se tale versione, e forse Android 3, continuano ad avere questo problema. Sulla base delle proprie statistiche di Google , questo significa che più del 99 per cento dei telefoni cellulari basati su Android sono vulnerabili agli attacchi, a causa di attacchi exploit sidejacking per rubare i cookie di autenticazione .I ricercatori Bastian Konings, Jens Nickels, e Florian Schaub hanno avvertito che la debolezza potrebbe venire utilizzato contro le persone che usano i loro dispositivi Android .
Si potrebbe anche pensare di creare un wifi ad hoc per catturare e far sincronizzare quanti più dispositivi android in modo da rubare tutte le credenziali sul telefono.Le Apps che utilizzano ClientLogin immediatamente devono iniziare a rendere almeno i dati criptati, utilizzare i canali https. Un protocollo di autenticazione più robusto noto come OAuth potrebbe anche risolvere il problema dei token.I ricercatori hanno anche suggerito a Google di migliorare la sua sicurezza accorciando la lunghezza degli authTokens come tempo di validità e rifiutare le domande ClientLogin da connessioni http insicure .
WhatsApp è uno degli strumenti di messaggistica più utilizzati al mondo, ma può capitare di…
ATLUS ha annunciato che da oggi è disponibile su Steam una demo gratuita del GDR di collezione dei…
Oggi SQUARE ENIX ha pubblicato DRAGON QUEST III HD-2D Remake, una meravigliosa reinterpretazione dell'amato capolavoro DRAGON QUEST III.…
Microids e Studio [2.21] sono lieti di celebrare la tanto attesa uscita di Little Big Adventure -…
Ryu Ga Gotoku Studio e SEGA hanno svelato nuovi dettagli riguardanti Like a Dragon: Pirate Yakuza in Hawaii, approfondendo…
L'etichetta Bandai Namco Game Music ha lanciato oggi la colonna sonora originale di ELDEN RING…