日刊よしぞーplus:日刊と銘打ってますが週2~3回の更新です。
米GoogleがAndroid搭載端末で提供しているカレンダーアプリケーションや連絡先アプリケーションの情報が暗号化されないまま転送され、他人に情報を傍受されたり、改ざんされたりする恐れがあることが明らかになったと、ドイツの研究者が発表した。Androidを搭載したスマートフォンの99.7%がこの脆弱性の影響を受けるとしている。
ドイツのウルム大学の研究者が公開した情報によると、この脆弱性はGoogle CalendarやGoogle Contactsなど「ClientLogin」という認証プロトコルを使っているアプリケーションで、暗号化されないHTTPを介して認証用トークン(authToken)がやり取りされている問題に起因する。これは公衆無線LANを介して他人が簡単に情報を傍受できてしまう状態だという。
攻撃者が傍受したトークンを使えば、カレンダーや連絡先などの個人情報にフルアクセスできるほか、ユーザーに気付かれないまま情報を改ざんしたり、削除したりできてしまう。
研究者は実際に、Androidのバージョン2.1/2.2/2.2.1/2.3.3/2.3.4/3.0を搭載した端末と、ネイティブのGoogle Calendar、Google ContactsおよびGalleryの各アプリケーションに対して攻撃を仕掛ける実験を実施した。その結果、Android 2.3.3までのバージョンでは、CalendarとContactsアプリケーションのリクエストがHTTPを介して暗号化されないまま送信されていることが判明し、authToken攻撃に対して脆弱であることが分かった。
Android 2.3.4以降のCalendarとContactsアプリケーションではセキュアなHTTS接続が使われるようになったが、WebアルバムPicasaの同期サービスでは依然としてHTTPが使われているという。
この脆弱性は標準的なAndroidアプリケーションだけでなく、HTTP経由のClientLoginプロトコルを介してGoogleサービスにアクセスするデスクトップアプリケーションにも影響を及ぼすとしている。
開発者側の対策としては、ClientLoginを使っているアプリケーションと同期サービスで直ちにHTTPSを経由するよう切り替えるか、よりセキュアな認証サービスのOAuthに切り替えることを提言。ユーザー側ではAndroid 2.3.4へのアップデート、公衆無線LANに接続する際の自動同期設定を無効にするなどの対策を挙げている。
ソース:yahooニュース
http://headlines.yahoo.co.jp/hl?a=20110518-00000028-zdn_ep-secu
- - - - - -
うわあああああああああああ
IS03じゃまだ2.2だし…
googleさんは早く穴をふさぐべき。
ドイツのウルム大学の研究者が公開した情報によると、この脆弱性はGoogle CalendarやGoogle Contactsなど「ClientLogin」という認証プロトコルを使っているアプリケーションで、暗号化されないHTTPを介して認証用トークン(authToken)がやり取りされている問題に起因する。これは公衆無線LANを介して他人が簡単に情報を傍受できてしまう状態だという。
攻撃者が傍受したトークンを使えば、カレンダーや連絡先などの個人情報にフルアクセスできるほか、ユーザーに気付かれないまま情報を改ざんしたり、削除したりできてしまう。
研究者は実際に、Androidのバージョン2.1/2.2/2.2.1/2.3.3/2.3.4/3.0を搭載した端末と、ネイティブのGoogle Calendar、Google ContactsおよびGalleryの各アプリケーションに対して攻撃を仕掛ける実験を実施した。その結果、Android 2.3.3までのバージョンでは、CalendarとContactsアプリケーションのリクエストがHTTPを介して暗号化されないまま送信されていることが判明し、authToken攻撃に対して脆弱であることが分かった。
Android 2.3.4以降のCalendarとContactsアプリケーションではセキュアなHTTS接続が使われるようになったが、WebアルバムPicasaの同期サービスでは依然としてHTTPが使われているという。
この脆弱性は標準的なAndroidアプリケーションだけでなく、HTTP経由のClientLoginプロトコルを介してGoogleサービスにアクセスするデスクトップアプリケーションにも影響を及ぼすとしている。
開発者側の対策としては、ClientLoginを使っているアプリケーションと同期サービスで直ちにHTTPSを経由するよう切り替えるか、よりセキュアな認証サービスのOAuthに切り替えることを提言。ユーザー側ではAndroid 2.3.4へのアップデート、公衆無線LANに接続する際の自動同期設定を無効にするなどの対策を挙げている。
ソース:yahooニュース
http://headlines.yahoo.co.jp/hl?a=20110518-00000028-zdn_ep-secu
- - - - - -
うわあああああああああああ
IS03じゃまだ2.2だし…
googleさんは早く穴をふさぐべき。
PR
この記事にコメントする
スポンサードリンク
ブログ内検索
カレンダー
カテゴリー
最新記事
(03/18)
(03/18)
(03/18)
(03/18)
(03/17)
プロフィール
HN:
よしぞー
年齢:
53
HP:
性別:
男性
誕生日:
1973/02/20
職業:
派遣社員にジョブチェンジ
趣味:
飲酒/睡眠/飲食
自己紹介:
〇マイペースじゃないと生きて行けません。
〇基本的にインドア派。
〇でも酒とうまい食い物の為ならどこでも行きます。
〇ルックス、知識、経済力、運動神経全てママンの体内に置き忘れて産まれてしまいました。
〇いわゆる低学歴低身長低収入。低スペック。
〇非モテ人生まっしぐら。
〇オンライン推奨。
〇来世でがんばろう。
〇基本的にインドア派。
〇でも酒とうまい食い物の為ならどこでも行きます。
〇ルックス、知識、経済力、運動神経全てママンの体内に置き忘れて産まれてしまいました。
〇いわゆる低学歴低身長低収入。低スペック。
〇非モテ人生まっしぐら。
〇オンライン推奨。
〇来世でがんばろう。
アーカイブ
50ヶ月分を表示しています
アクセス解析