Ενημέρωση, Τετάρτη στις 11:45 π.μ. PT: Η Google έχει εκδώσει μια επιδιόρθωση που αναγκάζει τις εφαρμογές Google που επηρεάζονται να συνδεθούν μέσω του ασφαλούς πρωτοκόλλου HTTPS. Εφόσον ενημερώσετε τις εφαρμογές σας όταν η διόρθωση επιλυθεί, αυτή η δημόσια ευπάθεια Wi-Fi δεν θα σας επηρεάσει. Μέχρι τότε, είναι καλύτερο να χρησιμοποιήσετε το δημόσιο Wi-Fi με μεγάλη προσοχή ή να ακολουθήσετε τις παρακάτω οδηγίες.

Τα τηλέφωνα και τα tablet Android που εκτελούν έκδοση 2.3.3 και νωρίτερα υποφέρουν από ευπάθεια σε ημερολόγια και πληροφορίες επικοινωνίας σε δημόσια δίκτυα Wi-Fi, σύμφωνα με νέα αναφορά. Ωστόσο, υπάρχουν ορισμένα συγκεκριμένα βήματα που μπορείτε να κάνετε για να προστατευθείτε.

Ετσι δουλευει. Η ευπάθεια είναι στο API ClientLogin Protocol, το οποίο εξομαλύνει τον τρόπο με τον οποίο η εφαρμογή Google μιλάει στους διακομιστές της Google. Οι αιτήσεις ζητούν πρόσβαση μέσω αποστολής ονόματος λογαριασμού και κωδικού πρόσβασης μέσω ασφαλούς σύνδεσης και η πρόσβαση είναι έγκυρη για έως και δύο εβδομάδες. Εάν ο έλεγχος ταυτότητας αποστέλλεται μέσω μη κρυπτογραφημένου HTTP, ένας εισβολέας θα μπορούσε να χρησιμοποιήσει λογισμικό παρακολούθησης δικτύου για να το κλέψει σε ένα νόμιμο δημόσιο δίκτυο ή να παραποιήσει το δίκτυο εξ ολοκλήρου χρησιμοποιώντας δημόσιο δίκτυο με κοινό όνομα, όπως "αεροδρόμιο" ή "βιβλιοθήκη". Ενώ αυτό δεν θα λειτουργήσει στο Android 2.3.4 ή παραπάνω, συμπεριλαμβανομένης της Honeycomb 3.0, που καλύπτει μόνο το 1% των συσκευών που βρίσκονται σε χρήση.

Φυσικά, η ασφαλέστερη λύση είναι να αποφύγετε τη χρήση δημόσιων, μη κρυπτογραφημένων δικτύων Wi-Fi, μεταβαίνοντας σε δίκτυα κινητής τηλεφωνίας 3G και 4G όποτε είναι δυνατόν. Αλλά αυτό δεν είναι πάντα μια επιλογή, ειδικά για τους ιδιοκτήτες tablet των Wi-Fi μόνο ή για τα στενά σχέδια δεδομένων.

Μια νόμιμη αν είναι η επιλογή είναι να απενεργοποιήσετε τον συγχρονισμό για τις εφαρμογές της Google που επηρεάζονται όταν συνδέεστε μέσω δημόσιου Wi-Fi. Ο κίνδυνος ασφαλείας επηρεάζει τις εφαρμογές που συνδέονται στο σύννεφο χρησιμοποιώντας ένα πρωτόκολλο που ονομάζεται authToken, όχι HTTPS. Οι εφαρμογές που δοκιμάστηκαν από τους ερευνητές που έγραψαν την αναφορά αποκαλύπτοντας την ευπάθεια συμπεριλάμβαναν Επαφές, Ημερολόγιο και Picasa. Το Gmail δεν είναι ευάλωτο, επειδή χρησιμοποιεί το HTTPS.

Ωστόσο, αυτό είναι μια επαχθή διόρθωση, καθώς απαιτεί τη μετάβαση σε κάθε εφαρμογή πριν συνδεθείτε και απενεργοποιώντας το συγχρονισμό με μη αυτόματο τρόπο κατά τη διάρκεια του χρόνου που βρίσκεστε στο συγκεκριμένο δημόσιο δίκτυο Wi-Fi. Μια πολύ πιο εύκολη λύση είναι να χρησιμοποιήσετε μια εφαρμογή. Μία από τις καλύτερες εφαρμογές για ασφαλή επικοινωνία είναι η SSH Tunnel (download), η οποία σχεδιάστηκε για χρήστες Android που έχουν κολλήσει πίσω από το Great Firewall της Κίνας. Η σήραγγα SSH έχει ορισμένους περιορισμούς: πρέπει να ρίζατε το τηλέφωνό σας για να το χρησιμοποιήσετε και οι κατασκευαστές συμβουλεύουν έντονα τους ανθρώπους που δεν είναι στην Κίνα να αναζητήσουν αλλού μια ασφαλή εφαρμογή tunneling.

Μια καλύτερη λύση φαίνεται να είναι το ConnectBot (λήψη), το οποίο προσφέρει ακόμη και μια έκδοση από την τοποθεσία του στο Web που υποστηρίζει τις εκδόσεις Pre-Cupcake του Android.

Οι χρήστες προσαρμοσμένων ROM τρίτων, όπως το CyanogenMod, πρέπει να ελέγχουν ποιες βελτιώσεις ασφαλείας διαθέτουν τα εγκατεστημένα ROM. Το CyanogenMod, για παράδειγμα, έχει ενσωματωμένη και απενεργοποιημένη υποστήριξη VPN. Οι χρήστες κυανογόνων μπορούν να έχουν πρόσβαση σε αυτό από το μενού Ρυθμίσεις, επιλέξτε Ρυθμίσεις ασύρματου δικτύου και δικτύου και μετά πατήστε Ρυθμίσεις VPN.

Δεδομένου του κατακερματισμού των συσκευών Android, αυτό είναι ένας σοβαρός κίνδυνος για την ασφάλεια που μετριάζεται μόνο από τον περιορισμό του σε συγκεκριμένες εφαρμογές και δημόσια δίκτυα. Η ιδανική λύση είναι η Google να εκδώσει ενημερώσεις κώδικα εφαρμογών ή ενημερώσεις Android το συντομότερο δυνατό, αν και η εταιρεία δεν έχει δώσει καμία ένδειξη για τα βήματα που σκοπεύει να λάβει ή πότε. Όπως πάντα όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, προχωρήστε με προσοχή.