Google repareert authenticatielek Android

Google heeft bekendgemaakt dat het een update uitbrengt voor zijn authenticatiemethode ClientLogin voor Android. Toegang krijgen tot Google-diensten, zoals de agenda- en contactenfunctionaliteit, moet nu veiliger worden.

Volgens het officiële statement van Google, dat gepubliceerd werd door Computerworld, houdt de update in dat kwaadwillenden niet langer persoonlijke informatie kunnen stelen via Googles agenda- en contactenfunctionaliteit. De fix wordt in de komende dagen wereldwijd uitgerold op de servers van Google, waardoor gebruikers niet zelf hoeven te updaten.

Google spreekt alleen van een update voor zijn agenda- en contactendienst. Uit een eerder gepubliceerd onderzoek blijkt echter dat het via de Picasa-dienst van Google ook mogelijk is om persoonlijke informatie te onderscheppen. Mogelijk brengt de internetgigant hiervoor later nog een update uit. Ook kunnen ontwikkelaars van Android-applicaties in hun software gebruikmaken van de authenticatiemethode, die ClientLogin wordt genoemd.

Duitse onderzoekers maakten onlangs bekend dat het mogelijk is om authenticatietokens te onderscheppen die Google-servers versturen als een gebruiker verbinding wil maken met Google-diensten. Hierdoor kunnen hackers data stelen die bij het desbetreffende account hoort. Dit is mogelijk omdat de servers van de internetgigant het token over een http-verbinding versturen, in plaats van https. In de nieuwste versies van Android, 2.3.4 voor smartphones en 3.0 voor tablets, is het probleem al verholpen, maar slechts weinig gebruikers draaien deze versies. Met de update moet het gebruiken van Googles agenda- en contactenfunctionaliteit voor alle Android-eigenaren veilig zijn.

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 19-05-2011 09:02 28

19-05-2011 • 09:02

28

Lees meer

Android-app waarschuwt voor naderende auto's bij oversteken
Android-app waarschuwt voor naderende auto's bij oversteken Nieuws van 29 november 2011
Ontwikkelaars installeren Inferno-OS op Android-telefoon
Ontwikkelaars installeren Inferno-OS op Android-telefoon Nieuws van 18 september 2011
Beveiligingsfirma wil Android-app vrijgeven voor uitvoeren penetratietests
Beveiligingsfirma wil Android-app vrijgeven voor uitvoeren penetratietests Nieuws van 7 augustus 2011
Google blokkeert videoverhuur voor geroote Android-apparaten
Google blokkeert videoverhuur voor geroote Android-apparaten Nieuws van 22 mei 2011
Google-app-authenticatie op Android kan worden gekaapt
Google-app-authenticatie op Android kan worden gekaapt Nieuws van 17 mei 2011
Android-apps sociale netwerken gebruiken onveilige verbinding
Android-apps sociale netwerken gebruiken onveilige verbinding Nieuws van 24 februari 2011
Meer producten en artikelen
Mobiele besturingssystemen Google Android Beveiliging Hackers

Reacties (28)

-Moderatie-faq
28
25
17
0
0
1
Wijzig sortering

Sorteer op:

Weergave:
TenTimes 19 mei 2011 09:08
Het lijkt of de laatste tijd steeds meer lekken in besturingssystemen worden gevonden. Of ligt het aan mij en was dat vroeger ook.

Er zullen toch echt wat betere afspraken moeten worden gemaakt over hoe persoonsgegevens worden beveiligd en hoe authenticatie gebeurt, want als het zo door blijft gaan, ligt straks ieder zijn data op straat doordat Google, Apple en Microsoft hun beveiliging niet op orde hebben.

Wat dat betreft ben echt voor die hackwedstrijden voor Google Chrome. Hierdoor kunnen ze talent belonen voor het hacken ipv dat deze gaan hacken om persoonsgegevens te verkopen en zo geld te verdienen aan hun talenten.
Dylan93 @TenTimes19 mei 2011 09:10
Dit komt mede doordat besturings systemen steeds geavanceerder worden en hierdoor word het dus ook steeds moeilijker om alles in 1x goed te schrijven wat de mens dus nooit zal lukken.
ruben @Dylan9319 mei 2011 09:15
Precies, en vergeet niet het tempo waarin het geschreven wordt, hoe snel veranderingen gaan in de mobiele wereld..

Het is volgens mij slechts een kwestie van tijd voordat er een lek in android komt waarop virussen zich kunnen verspreiden..
Bullet NL @ruben19 mei 2011 09:21
Ongetwijfeld, maar in het geval van Android zit ik meer aan maleware te denken, i.p.v. van virussen die zich in het systeem nestelen denk ik dat de kans op ondegelijke apps onder Android veel groter is.

Dit heeft overigens niets te maken met het probleem wat er nu is, dit is gewoon een "dommigheidje"

Begrijp me niet verkeerd, dit is niet verkeerd naar Google bedoeld, ze zijn alleen een veilige inlog methode in het deel van Android te bouwen wat contact legt met o.a. Google Agenda.
ReDnAx1991 @Dylan9319 mei 2011 09:17
De Hackers worden ook steeds beter dus wordt het moeilijk wordende OS nog moeilijker om te programmeren.

Hackers hebben tenslotte alle tijd (een leven hebben ze niet) ze vinden vanzelf wel een gaatje wat ze uit kunnen buiten.

Best wel triest!
DN. @ReDnAx199119 mei 2011 09:36
Vergeet niet dat ze lang niet altijd alleen opereren.
Hoe ik het zie (heeel overdreven uitgedrukt) is dat 20mensen iets bouwen, waarna de rest van de wereld het kan proberen onderuit te halen. Je kunt bij zo een complex systeem gewoonweg niet alles overzien!

We kunnen wel blijven vitten op bedrijven die software uitbrengen waar fouten in zitten.
Maar wat ik kwalijker vind is dat een bedrijf dat wordt benaderd omtrent een fout, deze laat zitten omdat het niet zo een hoge prioriteit heeft.

Ik weet niet hoe lang Google al weet van deze authenticatie lek, maar ik ben persoonlijk blij dat ze het hebben opgelost!
Verwijderd @ReDnAx199119 mei 2011 09:25
Hackers zijn niet per definitie mensen zonder een leven. Neem mensen die WOW spelen... er zijn een aantal die geen leven hebben maar de meeste komen gewoon buiten en hebben "echte" vrienden. De fun van het hacken kan je (vind ik) het best vergelijken met het scoren in een wedstrijd. Het feit dat je of sneller bent of technisch beter en daarom kan scoren is een van je motivaties. Hetzelfde geld voor mensen die hacken, en persoonlijk vind ik dat hackers hoewel sommige behoorlijk veel schade aanrichten ze bedrijven forceert om grove fouten in hun software te repareren. Zonder hackers geen goede code, geen xs4all en geen films zoals "The Matrix".
Dylan93 @ReDnAx199119 mei 2011 09:27
Hackers hebben tenslotte alle tijd (een leven hebben ze niet) ze vinden vanzelf wel een gaatje wat ze uit kunnen buiten.
Wat versta jij onder geen leven hebben ? Omdat ze niet dezelfde actitviteiten als jou doen en niet hetzelfde leven leiden hebben ze geen' leven' ?
Ik vind dat altijd de grootste onzin om te zeggen "Iemand heeft geen leven", mensen leiden altijd nog altijd hun eigen leven en als die anders is dan jou dagelijkse bezigheden hoef je niet mensen daarop af te rekenen.
De een zit de hele dag achter de PC beveiligingslekken te zoeken en de ander zuipt zichzelf helemaal lam, ieder zn ding toch :) ?

[Reactie gewijzigd door Dylan93 op 24 juli 2024 15:51]

HerrPino @Dylan9319 mei 2011 09:50
Wat versta jij onder geen leven hebben ?
Waarschijnlijk wat de meeste mensen onder 'geen leven hebben' verstaan. Niet buiten de deur komen, geen sociaal leven behalve eventueel via de computer. Zeg maar het stereotype nerd.
Dylan93 @HerrPino19 mei 2011 09:54
Ja dat begrijp ik ook wel, ik vind dat alleen doelloos om te zeggen want het slaat nergens op, die mensen willen hun leven zo leiden dus laat ze lekker, iemand heeft niet ineens geen leven meer omdat diegene niet leeft zoals mensen die elke dag buiten de deur zijn ofzo.
Bullet NL @TenTimes19 mei 2011 09:17
Alles wat beveiligd moet worden valt natuurlijk te hakken, zo simpel is het. Alleen speelde er in dit geval iets anders. Google was vergeten een beveiliging in dit deel van Android te zetten.

Je kunt het probleem het beste zien als inloggen op een HTTP website ipv HTTPS......
kmf @TenTimes19 mei 2011 09:25
Het komt meer omdat "online" zo belangrijk is geworden. Alles is verbonden aan je google, facebook, myspace, twitter, paypal, psn account.
Elke login brengt zijn risico's met zich mee en de impact van een accountbreach is vele malen groter omdat er te vaak te veel info en rechten aan die accounts zijn verbonden.

Vroegah had je alleen een login voor je email en misscien ook voor je inbelaccount. Als je die kwijtraakt, dan is er niks overboord. Je hebt er toch geen betalingsmogelijkheden aan verbonden. Nu is dat ietsie anders.
Triblade_8472 @TenTimes19 mei 2011 09:26
Dit komt o.a. doordat populaire OSen aan hackpogingen onderworpen worden. Hoe polulairder het OS, hoe meer pogingen.

Dit wordt al vele jaren voor MS fanboys (myself included) geroepen. Als iets veel gerbuikt wordt, gaat er veel gehacked worden. Je ziet nu steeds meer de aandacht verschuiven van MS naar Apple en Google.
Verwijderd @TenTimes19 mei 2011 15:31
Als iedereen zijn data op straat ligt, is niemand zijn data nog iets waard.

Dat is waar we naartoe moeten. Een gemeenschap waar iedereen zijn voordeur open staat en zijn auto niet op slot zit. Dit is echter alleen mogelijk met sociale controle en die is in het echte leven zeer sterk afgezwakt tot onbestaande geworden met de komst van internet ipv dat we het ook op het internet zijn beginnen toe te passen.
cyberstalker 19 mei 2011 10:02
Dit is goed nieuws. Dit betekent ook dat providers via Deep Packet Inspection niet langer bij de authenticatie tokens kunnen komen.
Zed_no1 19 mei 2011 10:40
Het lijkt me dat ze de HTTP door sturen naar HTTPS waardoor daar de authenthicatie verder wordt uitgevoerd..
Verwijderd 20 mei 2011 12:12
Ik heb nu probleem, dat mijn Google agenda entries niet meer te zien zijn op Android Agenda. Alle Agenda's al uit en aangezet, maar niets meer. Alleen Facebook entries en die ik op Andoid ingebracht heb. Is dat gerelateerd hieraan? Suggesties?
Verwijderd 19 mei 2011 09:13
Blijkbaar blijven alle apps die deze Google API op hebben geimplementeerd kwetsbaar op android 2.3.3 en lager
Cartman! @Verwijderd19 mei 2011 09:36
Nee hoor, dat hoeft niet. Ze zouden bij Google de http-requests kunnen verwijzen naar https via hun server. Als het onderliggende stukje software die de verbinding regelt binnen het OS dit oppakt dan is dat direct gefixt voor alle versies.
Bullet NL @Cartman!19 mei 2011 09:40
Klopt, het probleem lijkt aanvankelijk ook groter dan dat het is, het is hoogstens een slordigheid dat ze het niet vanaf het begin in Android hebben mee gebakken.
jellever @Verwijderd19 mei 2011 09:16
De fix wordt in de komende dagen werldwijd uitgerold op de servers van Google, waardoor gebruikers niet zelf hoeven te updaten.
Als het op de server wordt gefixt zal de gebruiker niet hoeven updaten.

[Reactie gewijzigd door jellever op 24 juli 2024 15:51]

dangerousp @Verwijderd19 mei 2011 09:19
Ik neem aan dat de update voor alle android versies van toepassing is.. het gaat toch om een fix aan de server kant, waardoor telefoons zelf niets hoeven te doen.
Verwijderd @dangerousp19 mei 2011 10:26
De fix aan de serverkant werkt toch alleen voor de login Googles eigen diensten zelf (en blijkbaar dan nog niet eens voor Picasa).
Ik zie nergens dat dit ook voor alle apps werkt
watercoolertje
@Verwijderd19 mei 2011 09:28
Bij jouw wel, de rest van de wereld niet 8)7 (misschien gewoon het artikel LEZEN?)
Verwijderd 30 mei 2011 21:03
Ook ik heb het probleem dat in mijn google agenda die op mijn telefoon met Android besturingssysteem gesynchroniseerd is, alle uitnodigingen verdwenen zijn ! Iemand suggestie voor oplossing ?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq