Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties

Google heeft bekendgemaakt dat het een update uitbrengt voor zijn authenticatiemethode ClientLogin voor Android. Toegang krijgen tot Google-diensten, zoals de agenda- en contactenfunctionaliteit, moet nu veiliger worden.

Volgens het officiële statement van Google, dat gepubliceerd werd door Computerworld, houdt de update in dat kwaadwillenden niet langer persoonlijke informatie kunnen stelen via Googles agenda- en contactenfunctionaliteit. De fix wordt in de komende dagen wereldwijd uitgerold op de servers van Google, waardoor gebruikers niet zelf hoeven te updaten.

Google spreekt alleen van een update voor zijn agenda- en contactendienst. Uit een eerder gepubliceerd onderzoek blijkt echter dat het via de Picasa-dienst van Google ook mogelijk is om persoonlijke informatie te onderscheppen. Mogelijk brengt de internetgigant hiervoor later nog een update uit. Ook kunnen ontwikkelaars van Android-applicaties in hun software gebruikmaken van de authenticatiemethode, die ClientLogin wordt genoemd.

Duitse onderzoekers maakten onlangs bekend dat het mogelijk is om authenticatietokens te onderscheppen die Google-servers versturen als een gebruiker verbinding wil maken met Google-diensten. Hierdoor kunnen hackers data stelen die bij het desbetreffende account hoort. Dit is mogelijk omdat de servers van de internetgigant het token over een http-verbinding versturen, in plaats van https. In de nieuwste versies van Android, 2.3.4 voor smartphones en 3.0 voor tablets, is het probleem al verholpen, maar slechts weinig gebruikers draaien deze versies. Met de update moet het gebruiken van Googles agenda- en contactenfunctionaliteit voor alle Android-eigenaren veilig zijn.

Moderatie-faq Wijzig weergave

Reacties (28)

Het lijkt of de laatste tijd steeds meer lekken in besturingssystemen worden gevonden. Of ligt het aan mij en was dat vroeger ook.

Er zullen toch echt wat betere afspraken moeten worden gemaakt over hoe persoonsgegevens worden beveiligd en hoe authenticatie gebeurt, want als het zo door blijft gaan, ligt straks ieder zijn data op straat doordat Google, Apple en Microsoft hun beveiliging niet op orde hebben.

Wat dat betreft ben echt voor die hackwedstrijden voor Google Chrome. Hierdoor kunnen ze talent belonen voor het hacken ipv dat deze gaan hacken om persoonsgegevens te verkopen en zo geld te verdienen aan hun talenten.
Dit komt mede doordat besturings systemen steeds geavanceerder worden en hierdoor word het dus ook steeds moeilijker om alles in 1x goed te schrijven wat de mens dus nooit zal lukken.
Precies, en vergeet niet het tempo waarin het geschreven wordt, hoe snel veranderingen gaan in de mobiele wereld..

Het is volgens mij slechts een kwestie van tijd voordat er een lek in android komt waarop virussen zich kunnen verspreiden..
Ongetwijfeld, maar in het geval van Android zit ik meer aan maleware te denken, i.p.v. van virussen die zich in het systeem nestelen denk ik dat de kans op ondegelijke apps onder Android veel groter is.

Dit heeft overigens niets te maken met het probleem wat er nu is, dit is gewoon een "dommigheidje"

Begrijp me niet verkeerd, dit is niet verkeerd naar Google bedoeld, ze zijn alleen een veilige inlog methode in het deel van Android te bouwen wat contact legt met o.a. Google Agenda.
De Hackers worden ook steeds beter dus wordt het moeilijk wordende OS nog moeilijker om te programmeren.

Hackers hebben tenslotte alle tijd (een leven hebben ze niet) ze vinden vanzelf wel een gaatje wat ze uit kunnen buiten.

Best wel triest!
Vergeet niet dat ze lang niet altijd alleen opereren.
Hoe ik het zie (heeel overdreven uitgedrukt) is dat 20mensen iets bouwen, waarna de rest van de wereld het kan proberen onderuit te halen. Je kunt bij zo een complex systeem gewoonweg niet alles overzien!

We kunnen wel blijven vitten op bedrijven die software uitbrengen waar fouten in zitten.
Maar wat ik kwalijker vind is dat een bedrijf dat wordt benaderd omtrent een fout, deze laat zitten omdat het niet zo een hoge prioriteit heeft.

Ik weet niet hoe lang Google al weet van deze authenticatie lek, maar ik ben persoonlijk blij dat ze het hebben opgelost!
Hackers zijn niet per definitie mensen zonder een leven. Neem mensen die WOW spelen... er zijn een aantal die geen leven hebben maar de meeste komen gewoon buiten en hebben "echte" vrienden. De fun van het hacken kan je (vind ik) het best vergelijken met het scoren in een wedstrijd. Het feit dat je of sneller bent of technisch beter en daarom kan scoren is een van je motivaties. Hetzelfde geld voor mensen die hacken, en persoonlijk vind ik dat hackers hoewel sommige behoorlijk veel schade aanrichten ze bedrijven forceert om grove fouten in hun software te repareren. Zonder hackers geen goede code, geen xs4all en geen films zoals "The Matrix".
Hackers hebben tenslotte alle tijd (een leven hebben ze niet) ze vinden vanzelf wel een gaatje wat ze uit kunnen buiten.
Wat versta jij onder geen leven hebben ? Omdat ze niet dezelfde actitviteiten als jou doen en niet hetzelfde leven leiden hebben ze geen' leven' ?
Ik vind dat altijd de grootste onzin om te zeggen "Iemand heeft geen leven", mensen leiden altijd nog altijd hun eigen leven en als die anders is dan jou dagelijkse bezigheden hoef je niet mensen daarop af te rekenen.
De een zit de hele dag achter de PC beveiligingslekken te zoeken en de ander zuipt zichzelf helemaal lam, ieder zn ding toch :) ?

[Reactie gewijzigd door Dylan93 op 19 mei 2011 10:26]

Wat versta jij onder geen leven hebben ?
Waarschijnlijk wat de meeste mensen onder 'geen leven hebben' verstaan. Niet buiten de deur komen, geen sociaal leven behalve eventueel via de computer. Zeg maar het stereotype nerd.
Ja dat begrijp ik ook wel, ik vind dat alleen doelloos om te zeggen want het slaat nergens op, die mensen willen hun leven zo leiden dus laat ze lekker, iemand heeft niet ineens geen leven meer omdat diegene niet leeft zoals mensen die elke dag buiten de deur zijn ofzo.
Alles wat beveiligd moet worden valt natuurlijk te hakken, zo simpel is het. Alleen speelde er in dit geval iets anders. Google was vergeten een beveiliging in dit deel van Android te zetten.

Je kunt het probleem het beste zien als inloggen op een HTTP website ipv HTTPS......
Het komt meer omdat "online" zo belangrijk is geworden. Alles is verbonden aan je google, facebook, myspace, twitter, paypal, psn account.
Elke login brengt zijn risico's met zich mee en de impact van een accountbreach is vele malen groter omdat er te vaak te veel info en rechten aan die accounts zijn verbonden.

Vroegah had je alleen een login voor je email en misscien ook voor je inbelaccount. Als je die kwijtraakt, dan is er niks overboord. Je hebt er toch geen betalingsmogelijkheden aan verbonden. Nu is dat ietsie anders.
Dit komt o.a. doordat populaire OSen aan hackpogingen onderworpen worden. Hoe polulairder het OS, hoe meer pogingen.

Dit wordt al vele jaren voor MS fanboys (myself included) geroepen. Als iets veel gerbuikt wordt, gaat er veel gehacked worden. Je ziet nu steeds meer de aandacht verschuiven van MS naar Apple en Google.
Als iedereen zijn data op straat ligt, is niemand zijn data nog iets waard.

Dat is waar we naartoe moeten. Een gemeenschap waar iedereen zijn voordeur open staat en zijn auto niet op slot zit. Dit is echter alleen mogelijk met sociale controle en die is in het echte leven zeer sterk afgezwakt tot onbestaande geworden met de komst van internet ipv dat we het ook op het internet zijn beginnen toe te passen.
Dit is goed nieuws. Dit betekent ook dat providers via Deep Packet Inspection niet langer bij de authenticatie tokens kunnen komen.
Het lijkt me dat ze de HTTP door sturen naar HTTPS waardoor daar de authenthicatie verder wordt uitgevoerd..
Ik heb nu probleem, dat mijn Google agenda entries niet meer te zien zijn op Android Agenda. Alle Agenda's al uit en aangezet, maar niets meer. Alleen Facebook entries en die ik op Andoid ingebracht heb. Is dat gerelateerd hieraan? Suggesties?
Blijkbaar blijven alle apps die deze Google API op hebben geimplementeerd kwetsbaar op android 2.3.3 en lager
Nee hoor, dat hoeft niet. Ze zouden bij Google de http-requests kunnen verwijzen naar https via hun server. Als het onderliggende stukje software die de verbinding regelt binnen het OS dit oppakt dan is dat direct gefixt voor alle versies.
Klopt, het probleem lijkt aanvankelijk ook groter dan dat het is, het is hoogstens een slordigheid dat ze het niet vanaf het begin in Android hebben mee gebakken.
De fix wordt in de komende dagen werldwijd uitgerold op de servers van Google, waardoor gebruikers niet zelf hoeven te updaten.
Als het op de server wordt gefixt zal de gebruiker niet hoeven updaten.

[Reactie gewijzigd door jellever op 19 mei 2011 09:17]

Ik neem aan dat de update voor alle android versies van toepassing is.. het gaat toch om een fix aan de server kant, waardoor telefoons zelf niets hoeven te doen.
De fix aan de serverkant werkt toch alleen voor de login Googles eigen diensten zelf (en blijkbaar dan nog niet eens voor Picasa).
Ik zie nergens dat dit ook voor alle apps werkt
Bij jouw wel, de rest van de wereld niet 8)7 (misschien gewoon het artikel LEZEN?)
Ook ik heb het probleem dat in mijn google agenda die op mijn telefoon met Android besturingssysteem gesynchroniseerd is, alle uitnodigingen verdwenen zijn ! Iemand suggestie voor oplossing ?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True