Новости про Android, беспроводная связь и уязвимости

Наследник Heartbleed живёт в WiFi сетях и Android

Несмотря на то, что ошибка Heartbleed была давным-давно залатана, уязвимость, основанная на том же самом эксплоите, была недавно выявлена Льюисом Гранжиа, из информационной компании в области безопасности Sysvalue.

Вариация ошибки, названная Cupid, использует тот же эксплоит, как и оригинальный Heartbleed, однако работает с данными, перехватываемыми между Android устройствами и WiFi роутерами, атакуя, таким образом, оба типа устройств.

Алгоритм OpenSSL был уязвим к атакам с 2011 года. Гуру в области безопасности Брюс Шнайдер, после того как им была выявлена уязвимость, была вознесена «по шкале от 1 до 10 на уровень 11».

Эксплоит Cupid требует наличие Android устройства, подключённого к WiFi сети с протоколом EAP-PEAP, EAP-TLS или EAP-TTLS. И хотя уязвимость была обнаружена только на Android, Гранжиа допускает, что Cupid может существовать и на прочих операционных системах, использующих эти протоколы, включая машины под управлением iOS и OS X, VoIP устройства и принтеры, так что Sysvalue рекомендует проверить и остальные устройства.

Эксплоит Cupid положил конец надеждам на то, что Heartbleed может быть использован только после TLS подключения при протоколе TCP. Эксплоит может прекрасно существовать и в 802.1X (NAC) сетях, даже проводных.

Google знает каждый пароль WiFi, используемый с Android

На поверхность всплыла очередная проблема с приватностью в операционной системе Android.

Эксперты в области этой мобильной ОС утверждают, что инструмент резервирования в системе выполняет свою работу таким образом, что копия WiFi паролей каждой сети, к которой когда-либо подключалось устройство, начинает храниться на серверах Google. К сожалению, это может означать, что в случае давления со стороны правительственных органов, компания может выдать эти данные.

В Android 4.2 сервис резервного копирования отмечает пароли к WiFi как данные, которые будут включены в копию, в то время как более ранние версии ОС отдельно не оговаривают это. Конечно, эту функцию можно выключить вовсе, но тогда пользователи потеряют другую полезную информацию в случае восстановления.

Главная проблема заключается в том, что Google хранит эти пароли. Причём хранит их в таком виде, что может прочитать их, при необходимости. Это становится ясно из того, что новые Android устройства могут подтягивать данные с серверов Google, среди которых старые пароли, данные входа и настройки устройства сразу после того, как вы ввели учётную запись Gmail и новый пароль.

Конечно, у этого подхода есть две стороны. К примеру, мы можем легко управлять паролями к разным устройствам и службам, но это же, в некоторой мере, снижает безопасность используемых нами сетей.

Конечно, этот факт нельзя назвать шокирующим. Скорее он выглядит странным, особенно учитывая последние инициативы компании. И непременно, такой подход вызовет бурю негатива, если правительство всё же потребует раскрытия этих сведений, а Google безоговорочно их выдаст.