99% zařízení s Androidem je napadnutelných autentikačním útokem

Používáte-li telefon či tablet s Androidem, je dobré se vyhnout otevřeným WiFi sítím. Nedostatečné zabezpečení autentikačního mechanismu v Androidu 2.3.3 (a níže) umožňuje útočníkům získat přístup k vašemu účtu

Autentikační mechanismus (viz ClientLogin) Androidu využívá autentikační token, který je uložený v zařízení na dobu dvou týdnů po prvotním přihlášení ke Google (ale i dalším) službám. Nedostatečné zabezpečení přenášených informací (token není přenášen přes https, ale jako prostý text) umožňuje útočníkům tento token odchytit a získat tak přístup k vámi používaným službám.

Chyba je opravena ve verzích 2.3.4 (telefonní Android) a 3 (tabletový Android) – většina telefonů i tabletů s Androidem ale tuto verzi nemá k dispozici. A s ohledem na chronicky pomalý přístup výrobců telefonů k poskytování nových verzí Androidů hned tak mít nebude (převládá Android 2.2). Google chybu prozatím nenapravil v Picasa synchronizaci, a to ani v nejnovějších verzích Androidu.

Případné riziko můžete výrazně snížit nepoužíváním nezabezpečeného WiFi připojení.  Pokud musíte nezabezpečené WiFi využít, postačí vypnout po dobu využití automatickou synchronizaci.

Podrobnosti viz Catching AuthTokens in the Wild The Insecurity of Google’s ClientLogin Protocol