מנגנון בו גוגל משתמשת כדי להקל עליכם לגשת לשירותיה כאשר פרטי הגישה רשומים במכשיר האנדרואיד שלכם עשוי לסכן את החשבון שלכם, זאת כפי שהציג חוקר אבטחה קרייג יאנג, מחברת אבטחת המידע Tripwire, בכנס Defcon. יאנג, שמסר את ממצאיו לגוגל עוד בפברואר השנה, גורס כי חלק מהיכולות של כלי הפריצה אותו פיתח נחסמו כבר, אך אחרים עובדים עד היום.
הכלי של יאנג גונב את ה"מפתח" המשמש את גוגל כדי לאמת את זהותכם לאחר שהוספתם את חשבון הגוגל אל מערכת ההפעלה אנדרואיד - מנגנון שנקרא weblogin, באמצעות אפליקציה המתחזה ליישום של גוגל עצמה. יאנג אף הצליח להפוך את היישום הזדוני לזמין דרך חנות היישומים הרשמית של גוגל, Google Play, והיישום אף נשאר בחנות כחודש לפני שהורד משם, זאת לאחר שמישהו ככל הנראה דיווח עליו כזדוני. יש לציין כי יאנג עצמו כתב בתיאור היישום כי מדובר ביישום זדוני ואין להורידו.
מי שבכל זאת הוריד את הישום, תוך מתן האישור ליישום לגשת לחלק מרכיבי מערכת ההפעלה, גילה כי הוא נראה בדיוק כמו יישום מעקב המניות של גוגל. מאחורי הקלעים, כאשר המשתמש אומת מול שרתי גוגל, מפתח הזיהוי שלו נשלח לשרת של יאנג, ואפשר לו לאמת את עצמו. עד כה, לא ידוע על שימוש זדוני-באמת בפרצה אותה יאנג מצא.
אנדרואיד מסכן את סיסמת גוגל שלכם
5.8.2013 / 15:04