Профессор Университета Райса (США) Дэн Уоллах обнаружил, что смартфоны на базе операционной системы Android не умеют шифровать информацию, оправляемую на Facebook и Google Calendar, а также информацию, присылаемую данными сайтами.
В ходе занятий со студентами профессор использовал сниффер - сетевой анализатор трафика, предназначенный для перехвата и последующего анализа сетевого трафика. Он осуществил наблюдение за трафиком, отправляемым на его телефон на базе Android, при посещении различных приложений, доступных для мобильной платформы Google. То, что профессор увидел, немало его удивило, сообщает ХАКЕР.ру.
Официальное приложение Facebook, например, отправляло все в незашифрованном виде, за исключением пароля, написал Уоллах в своем блоге. Это значит, что все личные сообщения, загрузки фото и другие операции были видимы для соглядатаев, даже несмотря на то, что аккаунт был сконфигурирован для использования SSL.
"Люди, заслуженно или нет, считают Facebook чем-то более личным и приватным", - сообщил Уоллах. "С Facebook мы никогда не видели, чтобы пароль путешествовал "в чистом виде", но существует незашифрованный трафик, что вызывает интерес, поскольку я установил в веб-клиенте Facebook использование новой опции SSL-all-the-time. Но это не отразилось на приложении Facebook в Android".
Представитель Facebook сообщил: "После начала использования SSL на сайте мы по-прежнему тестируем его внедрение на всех платформах и надеемся обеспечить SSL как опцию для наших мобильных пользователей в ближайшие месяцы". Компания предупреждает пользователей о необходимости проявлять осторожность при использовании небезопасных Wi-Fi сетей, но насколько можно сказать, Facebook никогда однозначно не сообщал, что его приложения для смартфонов не шифруют трафик.
Google Calendar показал аналогичную халатность в проведенном Уоллахом эксперименте, также отправляя и получая информацию в незашифрованном виде. Это дает возможность шпионам увидеть твое расписание при получении доступа к серверу через небезопасные сети.
Представитель Google поведал в email: "Мы планируем начать шифровать трафик для Google Calendar в Android в будущем. Если это возможно, мы рекомендуем использовать зашифрованные Wi-Fi сети". Он не сказал, сколько придется ждать пользователям.
Уоллах обнаружил еще несколько приложений, которые используют опрометчивый подход к пользовательской приватности. Приложение SoundHound для распознавания песен, например, отправляет пользовательские GPS координаты с точностью до квартала на сервис каждый раз, когда делается запрос, даже несмотря на то, что приложение работает также хорошо без этой информации.
Сервис под названием ShopSaavy отслеживает те же данные, но, по крайней мере, здесь можно поспорить, насколько релевантно физическое расположение пользователя для сервиса.
Справедливости ради, подчеркивает Уоллах, ни одно из приложений, протестированных им, не передавало пароль в незашифрованном виде - под угрозой только личные данные (имена, адреса, телефонные номер, интересы и контакты) сотен миллионов пользователей.