محققان یک دانشگاه در آلمان موفق به شناسایی یک نقطه ضعف در سیستم عامل Android متعلق به شرکت Google شدند. این نقطه ضعف در نسخه های 2.3.3 و قدیمیتر این سیستم عامل وجود دارد.
بکارگیری سیستم عامل Android بر روی گوشیهای همراه هوشمند بطور گستردهای رواج پیدا کرده و اکنون بسیاری از سازندگان گوشیهای همراه، حداقل چند مدل از تولیدات خود را مجهز به این سیستم عامل کردهاند. به دلیل همین تنوع نیز برخی معتقد بودند که اصلاح این نقطه ضعف بر روی تمام این گوشیهای همراه، برای شرکت Google بسیار دشوار خواهد بود.
نقطه ضعف شناسایی شده در نحوه ارسال مجوز Authentication از گوشی همراه به برخی از سرویسهای Google، نظیر Calendar و Contacts، است. در ابتدای برقراری ارتباط بین گوشی و سرور سرویس دهنده، گوشی همراه از طریق یک ارتباط https رمزگذاری شده، نام کاربری و رمز عبور را به سرویس مورد نظر ارسال میکند. در مقابل، سرویس، یک مجوز Authentication در اختیار گوشی قرار میدهد تا طی دو هفته آینده، برای هر نوع ارتباط و درخواست از آن سرویس، مورد استفاده قرار دهد. از این پس که گوشی همراه میخواهد با سرویس Google ارتباط برقرار کند، این مجوز را از طریق یک ارتباط ساده http و بدون رمزگذاری ارسال می کند. در چنین شرایطی، اگر سرویسهای اینترنت عمومی مانند، شبکههای Wi-Fi رایگان در فرودگاهها و هتلها، برای این ارتباط استفاده شود، افراد بیگانه میتوانند با شنود این اطلاعات رد و بدل شده، مجوز Authentication را سرقت کرده و تا زمانی که اعتبار دارد، از آن برای دسترسی به سرویسهای Google صاحب گوشی، سوءاستفاده کنند.
با توجه به اینکه باید شرایط بسیار خاصی برای سوءاستفاده از این نقطه ضعف فراهم شود، اهمیت و خطر این نقطه ضعف، چندان زیاد نیست. با این حال، شرکت Google در یک عکسالعمل سریع، با تهیه و اعمال یک اصلاحیه بر روی سرورهایی که سرویسهای Google را ارائه میدهند، این نقطه ضعف را برطرف کرد. بدین ترتیب، بدون نیاز به نصب اصلاحیهای برروی گوشیهای همراه Android، این حفره امنیتی برطرف شد. البته این نکته را نباید فراموش کرد که امکان تبادل مجوز Authentication بین گوشی همراه و هر سرویسی (به غیر از Google) وجود دارد. لذا ترمیم این نقطه ضعف برعهده تمام سرویسدهندگان Android است.