Hơn 99% điện thoại Android tiềm ẩn nguy cơ gây rò rỉ dữ liệu cá nhân của người dùng khi người dùng truy cập vào các ứng dụng của Google từ các mạng không dây không an toàn.
Ba nhà nghiên cứu Bastian Konings, Jens Nickels và Florian Schaub thuộc trường đại học Ulm đã khám phá ra điều này khi đang xem xét cách điện thoại Android xử lý thông tin đăng nhập trên các dịch vụ web.
Hiện Google chưa có bình luận gì về những lỗ hổng trên điện thoại sử dụng hệ điều hành Android của hãng.
Theo đó, nhiều ứng dụng được cài đặt trên điện thoại Android tương tác với các dịch vụ Google bằng cách yêu cầu mã xác thực- thực chất là một thẻ ID số dành cho ứng dụng đó. Mỗi lần thực hiện, mã xác thực sẽ loại bỏ các yêu cầu cần thiết để giữ cho việc đăng nhập vào một dịch vụ trong một thời khoảng thời gian nhất định.
Các mã xác thực này được gửi đi theo dạng nguyên bản qua mạng không dây. Do đó, các mã xác thực dễ dàng bị tội phạm mạng trộm được trên đường truyền Wi-Fi. Tội phạm mạng có thể sẽ giả như là một người dùng cụ thể và nhận thông tin cá nhân của họ.
Thậm chí tệ hơn là các nhà phát nghiên cứu phát hiện thấy, các mã xác thực không bị ràng buộc với các điện thoại cụ thể hay thời gian sử dụng. Vì vậy, chúng có thể được sử dụng bởi một điện thoại mạo nhận ở bất cứ nơi nào.
Kẻ xấu có thể truy cập đầy đủ vào lịch, thông tin liên lạc hoặc bộ sưu tập web cá nhân của người dùng Google. Chúng có thể thay đổi địa chỉ email được lưu trữ của ông chủ hoặc các đối tác doanh nghiệp của nạn nhân với hy vọng nhận được tài liệu nhạy cảm hoặc bí mật liên quan tới công việc kinh doanh của họ.
Hiện chưa có ý kiến nào cho thấy các cuộc tấn công đã khai thác lỗ hổng Android. Nhưng hầu hết các phiên bản của hệ điều hành Android đều thông qua mã xác thực không được mã hóa. Google đã khắc phục vấn đề này trong phiên bản Android 2.3.4 nhưng chỉ có 0,3% điện thoại Android hoạt động trên phiên bản này.
Một số dịch vụ của Google như trang chia sẻ hình ảnh Picasa vẫn sử dụng mã xác thực không được mã hóa, các mã này có thể bị đánh cắp dễ dàng, nhóm nghiên cứu cho biết.
Vì vậy, họ đã khuyến cáo người dùng điện thoại Apple cập nhật lên phiên bản mới để tránh trở thành nạn nhân của các cuộc tấn công thông qua lỗ hổng này. Google cũng đang làm việc với các nhà mạng và nhà sản xuất điện thoại để cập nhật lên phiên bản Android 2.3.4 cho người dùng nhanh hơn hiện nay.