Podle výzkumu jsou zařízení s operačním systémem Android 2.3.3 nebo starším zranitelné z důvodu vadného ověřovacího protokolu ClientLogin. ClientLogin se využívá pro autentizaci nainstalovaných aplikací. ClientLogin totiž odesílá žádost o ověření aplikace (authToken) na server společnosti Google skrze HTTPS protokol a vysílá tak do internetu login a heslo ke Google účtu a nejen k němu. Jen Google účet se využívá pro celé portfolio služeb, jako je GMail, Google Docs apod.
Ve chvíli, kdy se uživatel přihlásí do služeb, jako je Facebook, Twitter nebo Google Calendar, je informace o jeho jménu a heslu uložena až po dobu 14 dnů, a útočníci mohou tyto informace zneužít pro přístup k cizím účtům. Největší riziko způsobuje používání telefonu s Androidem v otevřených WiFi sítích, v restauracích, shopping centrech či multikinech. Google celou situaci zatím nekomentoval, je ale vysoce pravděpodobné, že dojde k rychlé nápravě tohoto poměrně palčivého problému.
Zdroj: PCMag
