Android-hål öppnar för falsk inloggning

Det är en grupp tyska forskare vid universitet i Ulm som kartlagt hur Android-enheter med olika versioner av Googles operativsystem kommunicerar med Google Calender, Google Contacts och bildtjänsten Picasa. Med undantag för platt-versionen 3.0 och den allra senaste telefonversionen 2.3.4 skedde en del av kommunikation helt öppet.

En angripare som får Android-användare att logga in på ett öppet Wlan som han eller hon själv har skapat, till exempel genom att ge det ett namn som får det att framstå som ett legitimt Wlan, kan avlyssna datatrafiken som skickas mellan telefonen och Googles servrar när användarna loggar in med sitt Google-konto för att exempelvis komma åt sina kontakter.

Förutom användarnamnet och lösenordet skickas också ett så kallar "authentication token" mellan servrar och telefonen i okrypterad form. Detta är giltigt i två veckor och den som kommer över det kan utnyttja det istället för användarnamn och lösenord. Det innebär att man får åtkomst till allt som användarna sparat och dessutom kan ändra eller ta bort information.

Forskarna uppmanar därför alla användare som kan att uppdatera sina telefoner till version 2.3.4 av Android, men en sådan uppdatering finns bara för en mycket liten del av alla Android-mobiler. Med undantag för Nexus One och Nexus S är det dessutom upp till de olika tillverkarna att ta fram nya versioner av mjukvaran till sina telefoner och tidigare erfarenheter visar att det i vissa fall kan vara stor eftersläpning när det gäller de Android-versioner som tillverkarna använder sig av.

En forskare vid Princeton-universitet har också konstaterat att Facebook-appen för Android kan ha en liknande säkerhetsbrist. Alla information till och från telefonen skickas okrypterad, vilket eventuellt kan göra det möjligt att göra falska statusuppdateringar.