Android-gebruikers die via onbeveiligde draadloze netwerken surfen, lopen het risico dat aanvallers er met hun inloggegevens vandoor gaan. Duitse beveiligingsonderzoekers hebben een probleem ontdekt in de manier waarop Android-telefoons gegevens versturen. Sommige applicaties versturen de authenticatie tokens voor het inloggen als platte tekst. Aanvallers kunnen zo via het gratis programma Wireshark deze tokens onderscheppen en zelf gebruiken.

"De aanval lijkt op het stelen van sessiecookies van websites (Sidejacking). De haalbaarheid van Sidejacking tegen bekende websites zoals Facebook en Twitter, is onlangs door de Firesheep plugin gedemonstreerd, die veel aandacht kreeg", aldus de onderzoekers van de Ulm Universiteit.

WiFi-netwerken
In Android 2.3.4 en 3 gebruikt Google inmiddels HTTPS, maar nog niet voor de Picasa app. Het grootste risico lopen gebruikers met Android 2.1 en 2.2 toestellen. "Tot en met Android 2.3.3 versturen de Calendar en Contacts apps gegevens als platte tekst via HTTP en zijn daardoor kwetsbaar voor de authToken-aanval. Dit treft 99,7% van alle Android smartphones", zo laten de onderzoekers weten. "vanaf Android 2.3.4, gebruiken de Calendar en Contacts apps een veilige HTTPS-verbinding. De Picasa synchronisatie gebruikt nog steeds HTTP en is dus kwetsbaar."

De onderzoekers adviseren gebruikers dan ook om naar Android 2.3.4 te upgraden. In veel gevallen is een update echter niet beschikbaar. In dat geval kan men de automatische synchronisatie feature uitschakelen. "De beste bescherming op het moment is het vermijden van open draadloze netwerken bij het gebruik van de kwetsbare apps."