มีนักวิจัยในหลายๆ มหาวิทยาลัยออกมาเตือนผู้ใช้แอนดรอยด์ว่าพบช่องโหว่ใน authentication protocol หรือที่เรารู้จักในชื่อ ClientLogin Protocol ที่ทำให้แฮกเกอร์สามารถเข้าถึง Facebook, Twitter , Contacts ,บริการต่างๆ ของกูเกิล เช่น Google Calendar และเว็บไซต์ Picasa web albums

ในโปรโตคอลนี้หลังจากที่ผู้ใช้ login จะทำการเรียก authentication token ไปในรูปแบบของ clear text หรือข้อมูลที่ทำการส่งไปนั้นไม่ได้ทำการเข้ารหัสเลยเปิดโอกาสให้แฮกเกอร์ที่ได้รับ token นั้นปลอมตัวเป็นผู้ใช้ได้หากอุปกรณ์ที่เชื่อมต่ออินเตอร์เน็ตนั้นไม่ได้เข้ารหัสไว้ (unsecure network) อย่างเช่นพวก wifi hotspot ตามร้าน Starbucks

ผู้ใช้ที่เข้าข่ายใน 99% ที่มีความเสี่ยงในการถูกขโมยข้อมูลนั้นก็คือ ผู้ที่ใช้ Android 2.3.3 และต่ำกว่า แม้ว่ากูเกิลจะอัพเดต Android 2.3.4 แล้วก็ตามแต่ก็ยังพบช่องโหว่นี้ในการเข้าเว็บไซต์ Picasa web albums ในลักษณะเดิม ยังไงวิธีป้องกันที่ดีที่สุดคือควรหลีกเลี่ยงการเชื่อมต่อเครือข่ายอินเตอร์เน็ตที่ไม่ได้เข้ารหัสไว้แล้วกันนะครับ

ปล. น่าจะได้เห็น Android 2.3.5 เร็วๆ นี้

ที่มา: redmondpie , securelymobile.blogspot.com , neowin.net