Android ve Şifresiz Kablosuz Ağlar Açığı

Android telefonu kullandığımı ve bir android sever olduğumu belirterek bu yazıya başlamak istiyorum. Gün geçmiyor ki Android ‘de bir güvenlik açığından daha bahsedilmiyor olsun …

Bu sefer de Alman bir araştırma grubu Android işletim sistemli telefonlarda ciddi bir güvenlik açığı bulmuş ve bu açık neredeyse bütün Android telefonlarında mevcutmuş. (%99.7) Söylenilene göre kablosuz bağlantı kurulurken verilen bir açık yüzünden hackerlar bilgilerinizi ele geçirebiliyorlar. Daha sonra bu bilgiler ile Google Calendar, Kişiler ve diğer bazı uygulamalarınıza erişebiliyorlar.

Yazılım güvenliği konusunda bilgisi olan biri değilim ancak söylenildiğine göre bu keşfedilmesi hiç de zor olmayan bir açıkmış.  Android 2.3.3 öncesi sürümlerde mevcut ve hesabınızın ve bilgilerinizin, Google  serverlarındaki ile eşleştirildiği, karşılaştırılıp onaylandığı süreçte çalışan bir protokoldeki bir zaafdan kaynaklanıyor.  Aslında olay bu süreçte kullanılan güvenlik şifresi (authToken) ile ilgili. Bu bilgi açık şifresiz ağlarda şifrelenmeden gönderilen HTTP bağlantılarında, hackerların sizin hesapınızla ilgili bilgiye kolayca erişebilmesini sağlıyor ve üstüne üstlük bu token haftalarca kullanılabiliyor.  Bu da hackerların bilgilerinize uzun süre erişimi demek.  Bu durumda sstedikleri gibi google kişilerinizi silebilir ya da her hangi bir  google uygulamasında size ait bilgileri değiştirebilirler. Bu açık google clientlogin protokolünü kullanan bütün uygulamalar için geçerli.

Google tarafından yapılan açıklamaya göre bu hata 2.3.4 sürümünde düzeltiliyor ve Picasa dışında bütün uygulamalar için bu tehdit ortadan kalkıyor. Tabi yeni bir açık bulunmazsa.

Şu aşamada tavsiye edilen şifrelenmemiş kablosuz ağları kullanmamanız ve android telefonlarınızla internete bu ağlardan çıkmamanız. Eğer kullanma zorunluluğunuz varsa bile bu ağda bulunduğunuz sürece “snych” fonksiyonunu kapalı tutmanız.

Kaynak: http://venturebeat.com/2011/05/17/android-clientlogin-flaw/

 

Leave a Reply

Your email address will not be published. Required fields are marked *