Selasa, 17 Mei 2011

Kerentanan dalam Protokol ClientLogin Google!


Sekelompok peneliti keamanan dan privasi dari Institut Media Informatika di Universitas Ulm di Jerman, yang mengaku telah menemukan kerentanan keamanan serius dalam protokol ClientLogin Google.
Dalam analisis terbaru dari platform Android, kelompok menemukan bahwa ketika pengguna Android tersambung ke jaringan Wifi tidak terenkripsi terbuka, penyerang bisa baik membaca data sinkronisasi dikirimkan Google Kontak, Kalender dan Picasa Web Album, dan menangkap authToken yang pengguna otentikasi.
Bastian Könings, salah seorang peneliti dari kelompok itu, mengatakan kepada SecurityWeek, "musuh itu bisa menggunakan authToken untuk mendapatkan akses penuh ke data API layanan spesifik dan melihat, mengubah atau menghapus kontak, kalender acara, dan album web itu pengguna. "
"Kerentanan ini tidak terbatas pada aplikasi Android Google, tetapi untuk setiap aplikasi dan aplikasi desktop yang menggunakan protokol Google ClientLogin melalui HTTP bukan HTTPS," tambah Könings.
Kelompok catatan sebuah skenario yang menarik, mengatakan bahwa di luar informasi pengguna mencuri, musuh dapat melakukan perubahan halus tanpa memperhatikan pengguna. "Misalnya, musuh bisa mengubah alamat email yang tersimpan dari bos korban atau mitra bisnis berharap untuk menerima materi sensitif atau rahasia yang berkaitan dengan bisnis mereka," kata kelompok dalam posting mengungkapkan kerentanan "Karena seumur hidup panjang authTokens. , musuh nyaman dapat menangkap sejumlah besar tanda dan memanfaatkan mereka nanti dari lokasi yang berbeda, "tambah grup.
Jenis serangan serupa pada lingkup untuk mencuri sesi cookie situs Web, kadang-kadang disebut "sesi pembajakan" atau "Sidejacking. Sidejacking menarik perhatian banyak seputar dirilis Firesheep, sebuah plugin yang memungkinkan drag dan drop hacking serangan terhadap situs-situs seperti Facebook, Twitter, Yahoo dan banyak lagi.
Bastian Könings mengatakan SecurityWeek melalui email bahwa kelompok tersebut telah menghubungi Google tentang masalah ini dan itu tetap untuk Kalender dan Kontak di Android 2.3.4. Namun, Könings mengatakan bahwa Picasa sinkronisasi app Galeri saham masih rentan. "Sayangnya, distribusi Android 2.3.4 langka dan sebagian besar versi Android yang 2.3.3 dan di bawah," tambahnya.
keterangan lebih lanjut dari penemuan tersedia di sini. Gambar di bawah ini menunjukkan Wireshark authToken untuk ClientLogin dalam permintaan API data ke layanan Album Web Picasa

Tidak ada komentar:

Posting Komentar