Android: Κενό ασφαλείας δίνει πληροφορίες για το ιστορικό της τοποθεσίας
Ένα σοβαρό κενό στο Android φαίνεται πως ανακάλυψε το Electronic Frontier Foundation (EFF), Μη Κερδοσκοπικός Οργανισμός για την υπεράσπιση των ελευθεριών στον ψηφιακό κόσμο. Σύμφωνα λοιπόν με το EFF, smartphones και tablet που τρέχουν Android 3.1 ή μεταγενέστερη έκδοση, μεταδίδουν το ιστορικό των Wi-Fi συνδέσεων όταν οι οθόνες τους είναι κλειστές, σε οποιονδήποτε προσπαθεί να πάρει αυτήν την πληροφορία. Μπορεί να ακούγεται αρκετά «αθώα» η αποκάλυψη του ιστορικού συνδέσεων, όμως κακόβουλοι χρήστες μπορούν εκμεταλλευτούν αυτήν την αδυναμία και να προσδιορίσουν τις συντεταγμένες του δικτύου, και κατά συνέπεια τις τοποθεσίες του χρήστη, αποκαλύπτοντας έτσι πτυχές της προσωπικής του ζωής. Η αδυναμία αυτή προκύπτει από το χαρακτηριστικό «Preferred Network Overload», το οποίο συναντάται στο Android, αλλά και από το open source πρόγραμμα wpa_supplicant, το οποίο βρίσκεται όχι μόνο στο Android, αλλά και στο Linux. Με απλά λόγια, με το «Preferred Network Overload» γίνεται προσπάθεια διατήρησης της σύνδεσης με το ασύρματο δίκτυο όταν η οθόνη της συσκευής σβήνει, με στόχο την καλύτερη απόδοση από πλευράς αυτονομίας, χωρίς την αποσύνδεση από το Internet. Το wpa_supplicant από την άλλη, βοηθάει στη σύνδεση με κρυφά δίκτυα, επειδή όμως τα δίκτυα αυτά δεν αναμεταδίδουν την παρουσία τους, πρέπει η συσκευή προς σύνδεση να αναμεταδώσει τη δικιά της. Ο συνδυασμός των δύο, οδηγεί στην αναμετάδοση του ιστορικού Wi-Fi συνδέσεων, όταν η οθόνη του smartphone ή του tablet κλείνει. «Λαμβάνουμε πολύ σοβαρά υπόψη την ασφάλεια των δεδομένων τοποθεσίας και είμαστε πάντα χαρούμενοι να μαθαίνουμε για τυχόν απειλές. Επειδή τυχόν αλλαγές θα μπορούσαν να επηρεάσουν την συνδεσιμότητα των χρηστών σε κρυφά σημεία πρόσβασης, ερευνούμε ποιες αλλαγές είναι κατάλληλες για μελλοντική αναβάθμιση», ήταν η αρχική απάντηση της Google, όταν της γνωστοποιήθηκε το θέμα από το EFF. Αργότερα, υπάλληλος της Google υπέβαλλε ένα patch για το wpa_supplicant το οποίο λύνει το πρόβλημα. Σίγουρα είναι θετική η γρήγορη αντίδραση της Google, αλλά θα χρειαστεί αρκετό καιρό για να φτάσει το patch στον κώδικα του Android, ενώ την κατάσταση δυσκολεύει το fragmentation του Android οικοσυστήματος. Έτσι, δεν αποκλείεται πολλές συσκευές να μείνουν με αυτό το κενό ασφαλείας. Αξίζει να σημειωθεί ότι την ίδια συμπεριφορά παρουσιάζουν και οι υπολογιστές, όμως επειδή συνήθως δεν πραγματοποιείται αναζήτηση δικτύων σε καταστάσεις χαμηλής κατανάλωσης, απαιτείται περισσότερη τύχη και πιο στοχευμένη επίθεση για την εξαγωγή δεδομένων τοποθεσίας. Επίσης, εκτός από Android δοκιμάστηκαν και iOS συσκευές , με τα αποτελέσματα να δείχνουν ότι καμία συσκευή - από αυτές που δοκιμάστηκαν- με iOS 6 ή 7 δεν παρουσίασε πρόβλημα, ενώ αντίθετα, κάποιες που λειτουργούσαν με iOS 5 παρουσίαζαν την ίδια ευπάθεια με τις Android. Μια προσωρινή λύση, η οποία όμως δεν λειτουργεί πάντα με επιτυχία, είναι από τη ρύθμιση «Σύνθετα» στο Wi-Fi, να επιλέγει το «Ποτέ» στο «Να παραμένει ενεργοποιημένο το Wi-Fi ενεργοποιημένο κατά την αναστολή λειτουργίας». Η πλέον πρακτική λύση είναι η χειροκίνητη διαγραφή των αποθηκευμένων δικτύων καθώς και η απενεργοποίηση του Wi-Fi, όταν δεν είμαστε συνδεδεμένοι σε γνωστά μας δίκτυα. Θα επηρεάσει τη συμπεριφορά σας το εύρημα του EFF για το κενό στο Android; [via] - [via] http://feeds.myphone.gr/~r/myphone/~3/7Pf5_HRG0BM/showthread.php http://feeds.myphone.gr/~r/myphone/~3/7Pf5_HRG0BM/showthread.php ________ Orasi mailing list για την διαγραφή σας από αυτή την λίστα στείλτε email στην διεύθυνση [email protected] και στο θέμα γράψτε unsubscribe Για να στείλετε ένα μήνυμα και να το διαβάσουν όλοι οι συνδρομητές της λίστας στείλτε email στην διεύθυνση [email protected] διαβάστε τι συζητά αυτή η λίστα http://hostvis.net/mailman/listinfo/orasi_hostvis.net Για το αρχείο της λίστας http://www.mail-archive.com/[email protected]/ παλαιότερο αρχίο (έως 25/06/2011) http://www.freelists.org/archives/orasi __________ NVDA δωρεάν αναγνώστης οθώνης ένα πρόγραμμα ανοιχτού λογισμικού http://www.nvda-project.org/ __________ Για καλή Ελληνική και ξένη μουσική, Θεατρικά έργα από το ελληνικό και παγκόσμιο ρεπερτόριο επισκεφθείτε το http://www.isobitis.com ______________
