Update, środa o 11:45 rano PT: Firma Google wydała poprawkę, która zmusza aplikacjami Google, których dotyczy problem, do połączenia się za pomocą bezpiecznego protokołu HTTPS. Dopóki aktualizujesz swoje aplikacje po usunięciu poprawki, ta publiczna luka Wi-Fi nie będzie miała na ciebie wpływu. Do tej pory najlepiej korzystać z publicznego Wi-Fi z dużą ostrożnością lub postępować zgodnie z poniższymi instrukcjami.

Telefony i tablety z Androidem w wersji 2.3.3 i wcześniejszych cierpią na podatność na kalendarze i informacje kontaktowe w publicznych sieciach Wi-Fi, zgodnie z nowym raportem. Istnieje jednak kilka konkretnych kroków, które możesz podjąć, aby się zabezpieczyć.

Oto jak to działa. Luka wynika z interfejsu API protokołu ClientLogin, który upraszcza sposób, w jaki aplikacja Google komunikuje się z serwerami Google. Aplikacje żądają dostępu, wysyłając nazwę konta i hasło za pośrednictwem bezpiecznego połączenia, a dostęp jest ważny przez maksymalnie dwa tygodnie. Jeśli uwierzytelnienie jest wysyłane za pośrednictwem niezaszyfrowanego protokołu HTTP, osoba atakująca może użyć oprogramowania do podsłuchiwania sieci w celu kradzieży go przez legalną sieć publiczną lub podszyć się pod sieć całkowicie za pomocą publicznej sieci o wspólnej nazwie, takiej jak "lotnisko" lub "biblioteka". Chociaż nie będzie to działać w systemie Android 2.3.4 lub nowszym, w tym w Honeycomb 3.0, który obejmuje tylko 1 procent urządzeń w użyciu.

Oczywiście najbezpieczniejszym rozwiązaniem jest unikanie korzystania z publicznych, niezaszyfrowanych sieci Wi-Fi, przełączając się do mobilnych sieci 3G i 4G, gdy tylko jest to możliwe. Ale nie zawsze jest to możliwe, zwłaszcza w przypadku właścicieli tabletów obsługujących wyłącznie Wi-Fi lub tych, którzy mają napięte plany transmisji danych.

Jedną z zasadnych, choć skrupulatnych opcji, jest wyłączenie synchronizacji dla aplikacji Google, których dotyczy problem, gdy są połączone przez publiczną sieć Wi-Fi. Ryzyko bezpieczeństwa wpływa na aplikacje łączące się z chmurą przy użyciu protokołu zwanego authToken, a nie HTTPS. Aplikacje przetestowane przez naukowców, którzy napisali raport ujawniający lukę, to Kontakty, Kalendarz i Picasa. Gmail nie jest podatny na ataki, ponieważ korzysta z HTTPS.

Jest to jednak uciążliwa poprawka, ponieważ wymaga podłączenia się do każdej aplikacji przed połączeniem i ręcznym wyłączeniem synchronizacji w czasie, gdy znajdujesz się w konkretnej publicznej sieci Wi-Fi. O wiele łatwiejszym rozwiązaniem jest użycie aplikacji. Jedną z najlepszych aplikacji do bezpiecznej komunikacji jest tunel SSH (download), który został zaprojektowany dla użytkowników Androida utkniętych za Great Firewall of China. Tunel SSH ma pewne ograniczenia: musisz zrootować swój telefon, aby go użyć, a twórcy zdecydowanie zalecają innym, aby w Chinach nie szukali bezpiecznej aplikacji tunelującej.

Lepszym rozwiązaniem wydaje się być ConnectBot (download), który oferuje nawet wersję ze swojej strony internetowej, która obsługuje wersje Androida przed ciasteczkami.

Użytkownicy niestandardowych ROM firm trzecich, takich jak CyanogenMod, powinni sprawdzić, jakie ulepszenia zabezpieczeń zawiera ich zainstalowana pamięć ROM. Na przykład CyanogenMod ma wbudowaną i wyłączoną obsługę VPN. Cyanogen użytkownicy mogą uzyskać do niego dostęp z menu Ustawienia, wybierz Ustawienia sieci bezprzewodowej i sieci, a następnie dotknij Ustawienia VPN.

Biorąc pod uwagę fragmentację na urządzeniach z Androidem, jest to poważne zagrożenie bezpieczeństwa, które jest ograniczane tylko przez jego ograniczenia do konkretnych aplikacji i sieci publicznych. Idealnym rozwiązaniem dla Google jest jak najszybsze wydanie poprawki aplikacji lub Androida, mimo że firma nie podała żadnych informacji o tym, jakie działania zamierza podjąć i kiedy. Jak zawsze, gdy korzystasz z publicznych sieci Wi-Fi, zachowaj ostrożność.