Atnaujinimas, trečiadienis 11:45 val. PT: „ Google“ paskelbė pataisą, kuri verčia paveikti „Google“ programas prisijungti per saugų protokolą HTTPS. Kol atnaujinsite savo programas, kai pataisymas bus išjungtas, šis viešasis „Wi-Fi“ pažeidžiamumas neturės įtakos jums. Iki tol geriausia naudoti viešąjį „Wi-Fi“ ypač atsargiai arba laikykitės toliau pateiktų nurodymų.

Remiantis nauja ataskaita, „Android“ telefonai ir tabletės, kuriose veikia 2.3.3 ir ankstesnė versija, kenčia nuo kalendoriaus ir kontaktinės informacijos pažeidžiamumo viešuosiuose „Wi-Fi“ tinkluose. Tačiau yra keletas konkrečių veiksmų, kurių galite imtis, kad apsisaugotumėte.

Štai kaip tai veikia. Pažeidžiamumas yra „ClientLogin“ protokolo API, kuris supaprastina „Google“ programų derybas su „Google“ serveriais. Programos prašo prieigos siunčiant paskyros pavadinimą ir slaptažodį per saugų ryšį, o prieiga galioja iki dviejų savaičių. Jei autentifikavimas siunčiamas nešifruotu HTTP būdu, užpuolikas gali naudoti tinklo šnipinėjimo programinę įrangą, kad pavogtų jį teisėtame viešajame tinkle arba suklaidintų tinklą, naudodamas viešąjį tinklą su bendriniu pavadinimu, pvz., „Oro uostas“ arba „biblioteka“. Nors tai neveiks „Android 2.3.4“ ar naujesnėje versijoje, įskaitant „Honeycomb 3.0“, kuri apima tik 1 proc.

Žinoma, saugiausias sprendimas yra vengti naudoti viešuosius, nešifruotus „Wi-Fi“ tinklus, kai įmanoma, pereinant prie mobiliųjų 3G ir 4G tinklų. Tačiau tai ne visada yra galimybė, ypač tik „Wi-Fi“ planšetinio kompiuterio savininkams ar griežtų duomenų planams.

Viena teisėta, jei kruopštaus pasirinkimo galimybė yra išjungti sinchronizavimą su paveiktomis „Google“ programomis, kai jis prijungtas per viešąjį Wi-Fi. Saugumo rizika veikia programas, kurios prisijungia prie debesies naudojant protokolą, vadinamą authToken, o ne HTTPS. Mokslininkų, kurie parašė ataskaitą, atskleidžiančią pažeidžiamumą, patikrintas programas įtraukė kontaktai, kalendorius ir „Picasa“. „Gmail“ nėra pažeidžiamas, nes naudoja HTTPS.

Tačiau tai yra sudėtinga pataisa, nes reikia prisijungti prie kiekvienos programos prieš prisijungiant ir rankiniu būdu išjungiant sinchronizavimą tuo metu, kai esate konkrečiame viešajame „Wi-Fi“ tinkle. Daug paprastesnis sprendimas yra naudoti programą. Vienas iš geriausių saugaus ryšio programų yra SSH tunelis (atsisiųsti), skirtas „Android“ naudotojams, užstrigusiems už Didžiosios Kinijos ugniasienės. SSH tunelis turi tam tikrų apribojimų: turite naudoti savo telefoną, kad jį būtų galima naudoti, o kūrėjai primygtinai rekomenduoja ne Kinijoje esančius žmones ieškoti kitur saugios tuneliavimo programos.

Atrodo, kad geresnis sprendimas yra „ConnectBot“ (atsisiuntimas), kuriame netgi siūloma versija iš savo svetainės, kuri palaiko „Cupcake“ versijas „Android“.

Trečiųjų šalių priskirtų ROM kaip „CyanogenMod“ naudotojai turėtų patikrinti, su kokiais saugos priedais jų įdiegtas ROM. Pavyzdžiui, CyanogenMod turi VPN palaikymą ir jį išjungė. Cianogeno vartotojai gali pasiekti jį iš meniu „Nustatymai“, palieskite „Wireless“ ir „Network Settings“, tada palieskite „VPN Settings“.

Atsižvelgiant į „Android“ įrenginių susiskaidymą, tai yra rimta saugumo rizika, kurią sušvelnina tik tai, kad jis apribotas konkrečiomis programomis ir viešaisiais tinklais. Idealus sprendimas yra, kad „Google“ kuo greičiau išleistų programų pataisas ar „Android“ atnaujinimus, nors bendrovė nepateikė jokių nuorodų, kokių veiksmų ji ketina imtis, arba kada. Kaip visada naudodami viešuosius Wi-Fi tinklus, elkitės atsargiai.