Alice és Bob

Egyszerűen imádom az IT biztonsági bulvárt, mert minden héten van valami, ami felborzolja az idegeimet. Ha nem éppen egy aktuális Facebook „féreg”, vagy „vírus”, akkor valami más.

Egy kis kitérő annak, aki lemaradt volna a legutóbbiról. Villámgyorsan elterjedt egy scam a Facebookon, amely azt ígérte, hogy ha követed az megadott oldalon az utasításokat, akkor lesz egy „Nem tetszik” gombod. Egy Dropbox oldalon elérhető scriptet (!) kellett bemásolni a címsávba, és arra entert nyomni. Rutinosabb felhasználó itt már felhördülne, de mégis nagyon sokan lefutatták. A script létrehozott egy DOM objektumot, és lehívott egy másik Dropboxos scriptet, ami AJAXal lekérte a Facebookról az elsődleges ismerőseid listáját, az eredményt feldolgozta, egy iteráció minden egyes ismerős falára megosztotta a scam linkjét, majd átirányította a felhasználót valahova. Attól elegáns a megoldás, hogy a címsávba bemásolt, indító scriptet már nem korlátozza a Same Origin policy, tehát gond nélkül kinyúlhat a Facebook felé.  A terjedését nem az állította le, hogy több IT témájú oldal megkongatta a vészharangot a legújabb „Facebook vírusról”, hanem a Dropbox letiltotta a tárhelyet, mert túl sok kérés érkezett feléje.

Most éppen az a cikk érte el az ingerküszöbömet, ahol arra figyelmeztetnek, hogy az Androidos okostelefonok 99,7%-a súlyosan sebezhető, és el lehet lopni a személyes adatokat. Röviden összefoglalva a lényeget, a nyílt WIFI hálózaton, HTTP protokolon keresztül küldi ki az autentikációs alkalmazás a tokent, és mivel ez titkosítatlan, lehallgatható, ellopható, és ezzel a felhasználó megszemélyesíthető a Google oldalán. (Tényleg csak összefoglalva, itt elérhető az eredeti kutatás)

Nézzük az én helyzetemet! Van egy netbookom, Ubuntu 11.04 operációs rendszerrel, és Firefox 4.0 böngészőt használva csatlakozom nyílt WIFI hálozathoz, ahol HTTP-n keresztül bejelentkezem a blog.hu-ra, hogy feltegyem ezt a bejegyzést. Egy támadó lehallgatja a jelszavam, és belép a fiókomba. Itt most az Ubuntu sérülékeny? Vagy a Firefox? Vagy ne is gondolkodjam az egészen, hanem vigyem vissza a netbookomat az eladóhoz, és gariba cseréltessem, mert nem biztonságos? Ha ugyanezt mondjuk iPaden teszem, akkor el tudja lopni a jelszavam? Azt mondják az iPadek biztonságosak, talán nekem is azt kellene használnom? Segítsetek eldönteni, mert most már kezdek aggódni az adataimért!