Актуализация, сряда в 11:45 ч. PT: Google издаде поправка, която принуди засегнатите приложения на Google да се свързват чрез защитения протокол HTTPS. Докато актуализирате приложенията си, когато корекцията бъде избутана, тази публична Wi-Fi уязвимост няма да ви засегне. Дотогава най-добре е да използвате обществения Wi-Fi с изключително внимание или да следвате инструкциите по-долу.

Според нов доклад Android телефоните и таблетите на Android с версия 2.3.3 и по-рано страдат от уязвимост в календара и информацията за контакт в обществените Wi-Fi мрежи. Има обаче някои конкретни стъпки, които можете да предприемете, за да се предпазите.

Ето как работи. Уязвимостта е в API на ClientLogin Protocol, който улеснява разговорите на Google с сървърите на Google. Заявленията изискват достъп, като изпращат име и парола на акаунт чрез защитена връзка, а достъпът е валиден до две седмици. Ако удостоверяването е изпратено през некриптиран HTTP, атакуващият може да използва софтуера за подслушване на мрежата, за да го открадне в законна обществена мрежа, или да измисли мрежата изцяло с помощта на публична мрежа с общо име, като „летище“ или „библиотека“. Докато това няма да работи в Android 2.3.4 или по-висока версия, включително Honeycomb 3.0, това покрива само 1% от използваните устройства.

Разбира се, най-безопасното решение е да се избегне използването на публични, некриптирани Wi-Fi мрежи чрез преминаване към мобилни 3G и 4G мрежи, когато е възможно. Но това не винаги е опция, особено за притежателите на таблети само за Wi-Fi или тези, които имат строги планове за данни.

Една легитимна, ако мъчително решение е да деактивирате синхронизирането за засегнатите приложения на Google, когато е свързано чрез обществен Wi-Fi. Рискът за сигурността засяга приложения, които се свързват с облака, като използват протокол, наречен authToken, а не HTTPS. Приложенията, тествани от изследователите, които са написали доклада, разкриващ уязвимостта, включват контакти, календар и Picasa. Gmail не е уязвим, защото използва HTTPS.

Това обаче е тромаво решение, тъй като изисква влизане във всяко приложение, преди да се свържете и ръчно да деактивирате синхронизирането по време на конкретната обществена Wi-Fi мрежа. Много по-лесно решение е да използвате приложение. Един от най-добрите приложения за сигурна комуникация е SSH Tunnel (изтегляне), който е предназначен за потребители на Android, зад които стои голямата защитна стена на Китай. SSH Tunnel има някои ограничения: трябва да изкорени телефона, за да го използвате, и създателите силно съветва хората, които не са в Китай, да търсят другаде за сигурно тунелиране.

По-добро решение изглежда е ConnectBot (изтегляне), което дори предлага версия от своя уеб сайт, който поддържа версии на Android за Android.

Потребителите на потребителски ROM дискове на трети страни, като CyanogenMod, трябва да проверят какви подобрения в сигурността се доставят с инсталирания им ROM. CyanogenMod например има вградена и изключена VPN поддръжка. Потребителите на цианогена имат достъп до нея от менюто Настройки, натиснете Безжични и мрежови настройки, след което докоснете VPN Settings.

Като се има предвид разпокъсаността на устройствата с Android, това е сериозен риск за сигурността, който се ограничава само чрез ограничаването му до определени приложения и обществени мрежи. Идеалното решение е Google да пусне поправки на приложения или актуализации на Android възможно най-скоро, въпреки че компанията не е посочила какви стъпки планира да предприеме или кога. Както винаги, когато използвате публични Wi-Fi мрежи, продължете с повишено внимание.