Raport magazynu the Register ujawnia lukę spowodowaną „niewłaściwym wdrożeniem protokołu uwierzytelniania, który jest znany jako ClientLogin w systemie Android” – wersja 2.3.3 i wcześniejsze. Luka powoduje, że konto jest podatne na ataki przez 14 dni, ponieważ taka jest ważność tokenu. Każdy, kto uzyska tokeny, może przejąć kontrolę nad kontami w różnych serwisach.
Po podaniu w smartfonie loginu do konta Google, Facebooka lub innego serwisu, telefon otrzymuje token, który następnie przesyła się za pomocą czystego tekstu – „plain text” – czyli w sposób nieszyfrowany. Token można podpatrzeć łatwo – szczególnie podczas korzystania z publicznej sieci WiFi. Użytkownicy muszą uzbroić się w cierpliwość i poczekać na dotarcie łatki Google do ich wersji telefonu oraz zachować ostrożność – korzystając tylko z sieci szyfrowanych.
Źródło: Neowin