Update, woensdag om 11:45 uur PT: Google heeft een oplossing uitgegeven waardoor de getroffen Google-apps verbinding moeten maken via het beveiligde protocol HTTPS. Zolang u uw apps bijwerkt wanneer de oplossing is verwijderd, heeft dit openbare Wi-Fi-beveiligingslek geen invloed op u. Tot die tijd kunt u het beste openbare Wi-Fi gebruiken met extreme voorzichtigheid of de onderstaande instructies volgen.

Android-telefoons en tablets met versie 2.3.3 en eerder hebben last van een kwetsbaarheid op kalender- en contactinformatie in openbare Wi-Fi-netwerken, volgens een nieuw rapport. Er zijn echter enkele concrete stappen die u kunt nemen om uzelf te beschermen.

Dit is hoe het werkt. Het beveiligingslek bevindt zich in de ClientLogin Protocol-API, die stroomlijnt hoe de Google-app praat met de servers van Google. Aanvragen vragen toegang door een accountnaam en wachtwoord via een beveiligde verbinding te verzenden en de toegang is maximaal twee weken geldig. Als de authenticatie via niet-versleutelde HTTP wordt verzonden, kan een aanvaller software voor snuiven gebruiken om het via een legitiem openbaar netwerk te stelen, of het netwerk volledig spoofen met een openbaar netwerk met een algemene naam, zoals 'luchthaven' of 'bibliotheek'. Hoewel dit niet werkt in Android 2.3.4 of hoger, inclusief Honeycomb 3.0, dat slechts 1 procent van de in gebruik zijnde apparaten dekt.

Natuurlijk is de veiligste oplossing om te voorkomen dat openbare, niet-versleutelde Wi-Fi-netwerken worden gebruikt door waar mogelijk over te schakelen naar mobiele 3G- en 4G-netwerken. Maar dat is niet altijd een optie, vooral voor eigenaars van een wifi-tablet of voor eigenaars van strakke gegevensplannen.

Een legitieme, maar zorgvuldige optie is het uitschakelen van synchronisatie voor de getroffen Google-apps wanneer deze via openbare wifi is verbonden. Het beveiligingsrisico is van invloed op apps die verbinding maken met de cloud door een protocol te gebruiken dat AuthToken heet, niet HTTPS. De apps die zijn getest door de onderzoekers die het rapport hebben geschreven en die de kwetsbaarheid onthulden, waren onder meer Contactpersonen, Agenda en Picasa. Gmail is niet kwetsbaar omdat het HTTPS gebruikt.

Dit is echter een omslachtige oplossing, omdat het vereist is om naar elke app te gaan voordat u verbinding maakt en synchronisatie handmatig uitschakelt tijdens de tijd dat u zich op het specifieke openbare Wi-Fi-netwerk bevindt. Een veel eenvoudigere oplossing is om een ​​app te gebruiken. Een van de beste apps voor veilige communicatie is SSH Tunnel (download), die is ontworpen voor Android-gebruikers die vastzitten achter de grote firewall van China. SSH Tunnel heeft een aantal beperkingen: je moet je telefoon rooten om hem te gebruiken, en de makers raden mensen die niet in China zijn, aan om ergens anders naar een veilige tunneling-app te zoeken.

Een betere oplossing lijkt ConnectBot (download) te zijn, die zelfs een versie van zijn website biedt die pre-Cupcake-versies van Android ondersteunt.

Gebruikers van aangepaste ROM's van derden, zoals CyanogenMod, moeten controleren welke beveiligingsverbeteringen hun geïnstalleerde ROM bevat. CyanogenMod heeft bijvoorbeeld VPN-ondersteuning ingebouwd en uitgeschakeld. Cyanogen-gebruikers hebben toegang tot dit via het menu Instellingen, tik op Draadloos en Netwerkinstellingen en tik vervolgens op VPN-instellingen.

Gezien de fragmentatie op Android-apparaten is dit een ernstig beveiligingsrisico dat alleen wordt beperkt door de beperking tot specifieke apps en openbare netwerken. De ideale oplossing is dat Google zo snel mogelijk app-fixes of Android-updates vrijgeeft, hoewel het bedrijf geen indicatie heeft gegeven over de stappen die het van plan is te nemen of wanneer. Zoals altijd bij het gebruik van openbare Wi-Fi-netwerken, ga voorzichtig te werk.