Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Google zna hasła do sieci Wi-Fi na całym świecie

13 września 2013, 23:33 | Aktualności | komentarzy 7

Urządzenia działające pod kontrolą Androida od wersji 2.2 domyślnie wysyłają do serwerów firmy Google wszystkie zapamiętane hasła do sieci Wi-Fi. Temat nie jest nowy, jednak w obliczu rosnących obaw o naszą prywatność, warto o tej kwestii przypomnieć.

Jak przypomniał właśnie Computerworld, chcąc zdobyć hasło do naszej sieci bezprzewodowej niekoniecznie trzeba będzie zmierzyć się z zabezpieczeniami w postaci WEP/WPA/WPA2. Klucz do naszego Wi-Fi może już od dawna znajdować się na serwerach firmy Google.

Wynika to z tego, że rozmaite androidowe urządzenia mobilne domyślnie przesyłają do „centrali” kopię wielu ustawień, w tym hasła do wszystkich użytych kiedykolwiek bezprzewodowych sieci. Z pewnością wielu użytkowników nie jest jednak tego świadoma.

Za przesyłanie naszych haseł wprost do internetowego giganta odpowiedzialne są następujące funkcje:

  • Android 2.3.4: Settings / Privacy / Back up my settings
  • Android 4.2: Settings / Backup and reset / Back up my data

Dokładna analiza podręczników użytkownika (przykładowe podręczniki dla Androida: 2.3.4 oraz 4.0) nie pozostawia żadnych wątpliwości.

If you check this option, a wide variety of your personal data is backed up automatically, including your Wi-Fi passwords, Browser bookmarks, a list of the apps you’ve installed from the Market app, the words you’ve added to the dictionary used by the onscreen keyboard, and most of your customized settings.

Czyli w wolnym tłumaczeniu, po włączeniu tej opcji, oprócz całej masy różnych ustawień, wykonywana będzie również kopia wszystkich zapamiętanych w urządzeniu haseł do sieci Wi-Fi.

Z punktu widzenia wygody użytkownika chcącego w prosty sposób przywrócić w razie takiej potrzeby wszystkie ustawienia urządzenia — jest to z pewnością świetne rozwiązanie.

Jednak nawet jeśli Google przechowywane backupy szyfruje, to tylko i wyłącznie sam internetowy gigant posiada wszystkie klucze szyfrujące, gdyż w innym wypadku nie byłby w stanie przywrócić naszych ustawień do stanu pierwotnego.

Google od lat opowiada się za prawem swych użytkowników do zachowania prywatności, nie jest jednak żadną tajemnicą, że w przypadku otrzymania odpowiedniego nakazu, korporacja z Mountain View będzie musiała przekazać władzom wszystkie dane włącznie z naszymi hasłami.

Wyłączamy przesyłanie haseł do „centrali"

Wyłączamy przesyłanie haseł do „centrali”
źródło: nakedsecurity.sophos.com

W taki oto sposób, biorąc pod uwagę popularność urządzeń z Androidem na pokładzie, firma Google może być w posiadaniu haseł do znacznej części sieci Wi-Fi na całym świecie. Jeśli jednak nie chcemy, by było tam również nasze hasło, ustawmy odpowiednią opcję w naszym mobilnym systemie operacyjnym, a następnie zmieńmy nasze hasło.

PS Zero-day na androidowego Firefoksa

Na forach poświęconych tematyce przestępczości komputerowej pojawiła się oferta sprzedaży exploitu 0-day na androidowego Firefoksa 23/24/26 (Nightly). Opublikowano nawet materiał video prezentujący jego możliwości:

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. gh

    Tzn z tytułu można wywnioskować, że jest to jakaś „ukryta opcja” w androidzie, gdy tymczasem jest to w andku 2.3.4 wyraźnie napisane (przy opcji kop.zapas.danych), że wysyła hasła wifi na serwer Googla.

    Obserwując w ostatnim czasie różne wpisy dotyczące prywatności odnoszę wrażenie, że po aferze z NSA wzrasta poziom paranoi a w mediach poszukiwania sensacji dotyczących naszej prywatności. Oby nie było tak, że w tej pogoni portale będą się rozpisywać o oczywistych rzeczach np. opcje których zaznaczenie powoduje wysyłanie jakiś newralgicznych danych na chmurę.

    Odpowiedz
    • gh,
      Nigdzie nie sugeruję, że jest to jakaś „ukryta” opcja, jest ona jednak zazwyczaj domyślnie włączona i z pewnością wielu użytkowników Androida nawet nie zdaje sobie sprawy, że ich hasła do sieci wifi (prywatnych, służbowych i wszelkich innych z których korzystali na swoim urządzeniu) są zasysane na serwery Google’a!

      Poza tym, nawet jeśli ktoś korzystał z tej funkcji świadomie, to miał prawo zakładać, że nikt (włącznie z administratorem usługi) poza nim nie jest w stanie takich haseł odzyskać, a najprawdopodobniej jest jednak inaczej.

      Biorąc jeszcze pod uwagę to, że samochody Google’a przy okazji Street View zbierały m.in. informacje o lokalizacji poszczególnych sieci wifi, uważam, że warto informować o całej sprawie.

      Odpowiedz
  2. Zgadzam się z tym, co pisze Wojciech, bo dla adminów firmowych wifi jest to dobra wskazówka. Jeśli ktoś nie pomyślał do tej pory o WPA Enterprise, to chyba już nadszedł czas. Pytanie pomocnicze: ilu waszych pracowników ma już telefony z Androidem? Jaka ich część wykonała już takie backupy? Sam znam „bezpieczniaków”, którzy o tym nie pomyśleli :(

    PS: ciągle zapominam o tym zadaniu liczbowym pod formularzem ;)

    Odpowiedz
  3. MateuszM

    gh, nie wiem czy wzrasta poziom paranoi ale na pewno wzrasta świadomość społeczeństwa. Nawet jeżeli większość „alarmów” będzie fałszywa, zawsze lepiej aby użytkownik tego czy owego urządzenia miał świadomość co i jak działa.

    Jeszcze 10 lat temu większość sieci Wi-Fi nie stosowała żadnego szyfrowania. Nie dość, że można było podłączyć się do internetu za free to jeszcze świetnie się bawić czytając rozmowy na GG dzieci sąsiadów (lub coś innego). Jeżeli uważasz, że to źle, że w tej paranoi standardem stało się szyfrowanie ruchu bo ludzie zaczęli dostrzegać potencjalne zagrożenia itp. to albo tęsknisz za tamtymi czasami i zabawą albo nie jesteś wystarczająco świadomy zagrożeń.

    Kwestia wysyłania mniej lub bardziej prywatnych danych do tej czy innej firmy w ramach jakiejś usługi zaczyna powoli się przebijać do powszechnej świadomości. Nawet jeżeli Google zadba o te dane, nie masz pewności, że Hindusi z firmy podwykonawczej, z której może korzystać Google z taką samą pieczołowitością zadbają o Twoje dane.

    Odpowiedz
  4. wjp458

    Jestem zniesmaczony sytuacja i zdecydowanie dążę do zmiany telefonu – wcześniej wiedziałem, ze mój Nexus 4 nie jest bezpieczny (bo chociażby prawo w USA czy UK) – za mało czytałem o ewentualnych innych zagrożeniach – obecnie moja opinia jest jedna to telefon do totalnego inwigilowania! Bylem z BlackBerry 4 lata i mimo zagrożeń także w przypadku tego telefonu jeżeli decyduje się zrobić backup mam wybór! Nie ma ideału ale czekamy na Tizena czy nowy telefon z SailfishOS, może wrócę do BB? Dodam, ze nie jestem uwikłany w jakimkolwiek nielegalne działania ale każdy ma prawo do prywatności – USA to państwo bezprawia i niewolnictwa!

    Odpowiedz
  5. W jaki sposób można ponownie pobrać ustawienia od googla? czyli jak przywrócić backup i czy można do tych ustawień dostać się będąc na zalogowanym koncie google?

    Odpowiedz

Odpowiedz