آسیب‎پذیری گوشی‎های Android

محققان یک دانشگاه در آلمان موفق به شناسایی یک نقطه ضعف در سیستم عامل Android متعلق به شرکت Google شدند. این نقطه ضعف در نسخه های 2.3.3 و قدیمی‎تر این سیستم عامل وجود دارد.

بکارگیری سیستم عامل Android بر روی گوشی‎های همراه هوشمند بطور گسترده‎ای رواج پیدا کرده و اکنون بسیاری از سازندگان گوشی‎های همراه، حداقل چند مدل از تولیدات خود را مجهز به این سیستم عامل کرده‎اند. به دلیل همین تنوع نیز برخی معتقد بودند که اصلاح این نقطه ضعف بر روی تمام این گوشی‎های همراه، برای شرکت Google بسیار دشوار خواهد بود.

نقطه ضعف شناسایی شده در نحوه ارسال مجوز Authentication از گوشی همراه به برخی از سرویس‎های Google، نظیر Calendar و Contacts، است. در ابتدای برقراری ارتباط بین گوشی و سرور سرویس دهنده، گوشی همراه از طریق یک ارتباط https رمزگذاری شده، نام کاربری و رمز عبور را به سرویس مورد نظر ارسال می‎کند. در مقابل، سرویس، یک مجوز Authentication در اختیار گوشی قرار می‎دهد تا طی دو هفته آینده، برای هر نوع ارتباط و درخواست از آن سرویس، مورد استفاده قرار دهد. از این پس که گوشی همراه می‎خواهد با سرویس Google ارتباط برقرار کند، این مجوز را از طریق یک ارتباط ساده http و بدون رمزگذاری ارسال می کند. در چنین شرایطی، اگر سرویس‎های اینترنت عمومی مانند، شبکه‎های Wi-Fi رایگان در فرودگاه‎ها و هتل‎ها، برای این ارتباط استفاده شود، افراد بیگانه می‎توانند با شنود این اطلاعات رد و بدل شده، مجوز Authentication را سرقت کرده و تا زمانی که اعتبار دارد، از آن برای دسترسی به سرویس‎های Google صاحب گوشی، سوءاستفاده کنند.

با توجه به اینکه باید شرایط بسیار خاصی برای سوءاستفاده از این نقطه ضعف فراهم شود، اهمیت و خطر این نقطه ضعف، چندان زیاد نیست. با این حال، شرکت Google در یک عکس‎العمل سریع، با تهیه و اعمال یک اصلاحیه بر روی سرورهایی که سرویس‎های Google را ارائه می‎دهند، این نقطه ضعف را برطرف کرد. بدین ترتیب، بدون نیاز به نصب اصلاحیه‎ای برروی گوشی‎های همراه Android، این حفره امنیتی برطرف شد. البته این نکته را نباید فراموش کرد که امکان تبادل مجوز Authentication بین گوشی همراه و هر سرویسی (به غیر از Google) وجود دارد. لذا ترمیم این نقطه ضعف برعهده تمام سرویس‎دهندگان Android است.