كشف یك رخنه در ویژگی weblogin اندروید

به گزارش رصدبان موسسه سایبربان: ویژگی"web login" اندروید برای از كار انداختن برنامه های كاربردی استفاده می شود.یك محقق امنیتی اظهار داشت كه این ویژگی در اندروید می تواند برای از كار انداختن مجموعه ای از برنامه های كاربردی مورد استفاده قرار گرفته و تأیید هویت دو مرحله ای را به طور كامل نادیده بگیرد.
در كنفرانس هك Defcon، یك محقق امنیتی با نام Craig YoungازTripwire  گفت كه قادر است با استفاده از یك ویژگی برنامه های كاربردی گوگل را به طور كامل به مخاطره بیاندازد. او اشاره كرد كه این ضعف در توكن"weblogin"  وجود دارد. این توكن به كاربران اندروید اجازه می دهد تا برای استفاده از تمامی خدمات مبتنی بر گوگل تنها یكبار ثبت نام نمایند.
در واقع این ویژگی به جای استفاده از رمز عبور، از كوكی ها استفاده می كند اما اگر مهاجمی به پنل كنترل دامنه دسترسی یابد می تواند باعث ایجاد خرابی شود در اینصورت مهاجم می تواند رمز عبور را مجددا تنظیم كند، فایل ها را از درایو دانلود نماید، تأیید هویت دو مرحله ای را غیرفعال كند و نقش های كاربر را تغییر دهد.
این محقق اظهار داشت كه بهترین راه برای حفاظت خود و شركت های بزرگ در برابر چنین تهدیدهایی آن است كه هنگام دریافت درخواست های توكن هوشیار باشید، به منظور یافتن كدهای سوء استفاده از نرم افزار آنتی ویروس استفاده كنید و برنامه های كاربردی را تنها از منابع معتبر دانلود كرده و یا خریداری نمایید.