Cleartextben küldi az Android az Authentikációs tokeneket
A naptár és kontakt applikációk cleartextben küldik az authentikációs tokeneket. Ezek a tokenek 14 napig maradnak érvényben és a segítségével lehet olvasgatni mondjuk a naptárakat és a névjegyeket a google accountról! A cikk szerint 2.2től 2.3.4ig bezárólag érinti az összes Androidos telefont. Az enyém is ilyen sajnos :( Kiváncsi vagyok mennyi idő alatt jön ki a javítás. Addig is tartozkodni fogok a nyilvános wifizéstől a McDonaldsban!
To collect such authTokens on a large scale an adversary could setup a wifi access point with a common SSID (evil twin) of an unencrypted wireless network, e.g., T-Mobile, attwifi, starbucks. With default settings, Android phones automatically connect to a previously known network and many apps will attempt syncing immediately. While syncing would fail (unless the adversary forwards the requests), the adversary would capture authTokens for each service that attempted syncing. Due to the long lifetime of authTokens, the adversary can comfortably capture a large number of tokens and make use of them later on from a different location.
Nice!
via DaringFireball - Catching AuthTokens in the Wild The Insecurity of Google’s ClientLogin Protocol
