Lehetett-e újabb pilóta-öngyilkosság az Air India júniusi tragédiája?
Nemcsak a gépeket kell karbantartani, hanem a pilóták lelkét is.
Jelentős sérülékenységre bukkantak biztonsági kutatók az Androidban: az AutoSpill nevű sebezhetőséget kihasználva gyakorlatilag bármilyen, jelszókezelőkből származó bejelentkezési adatot el tudnak lopni a rosszindulatú felek, miközben valaki az automatikus kitöltést használja.
A problémát egy Black Hat Europe biztonsági konferencián prezentálták az International Institute of Information Technology (IIIT) kutatói. A megállapításaik pedig nem túl bíztatóak: a legtöbb androidos jelszókezelő program sebezhető vele.
A hiba a WebView nevű keretrendszerben van. Ez, bár a legtöbbeknek nem mond sokat, mégis szinte mindenki használja: amikor egy alkalmazásban felugrik egy böngészőablak, például annak érdekében, hogy belépjünk az adott szolgáltatásba, akkor ez tölti be a kért weboldalt.
Ez egy kényelmesebb megoldás, mintha a telefonunk minden ilyen esetben átugrana az alapértelmezett böngészőbe, de a jelek szerint sebezhető is.
A Nagy Testvér még ezt is látja: a mobilján felugró összes értesítést megfigyelhetik a kormányok
Gyakorlatilag bármit megfigyelhetnek a kormányzatok a mobilos értesítéseinken keresztül - és ez úgy tűnik, nem is csak egy elmélet.
Mint a Bleeping Computer írja, a legtöbb, Androidon működő jelszókezelő a WebViewt használja, amikor a felhasználó be szeretne jelentkezni egy szolgáltatásba, és élne az automatikus kitöltés lehetőségével.
A folyamat során azonban – kihasználva a sebezhetőséget – megszerezhetők lehetnek a kitöltött adatok, így a felhasználónév-jelszó páros is. Mindez szinte minden androidos jelszókezelővel kihasználható lehet.
A szakemberek már tájékoztatták a jelszókezelők fejlesztőit, valamint az Android biztonsági csapatát a hibáról, sőt, azt is elküldték, hogy hogyan lehetne megoldani azt. A kutatók jelentését valósnak minősítették, de arra vonatkozóan nem osztottak meg terveket, hogy miként tervezik javítani a sérülékenységet.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
