Menu

Heslo k vašemu účtu Google může změnit kdokoli, kdo má v ruce váš telefon

Server Android Soul přinesl příběh jednoho z uživatelů služby Reddit, kterému syn změnil heslo k účtu Google bez jeho vědomí a bez nutné znalosti stávajících přístupových údajů či jakýchkoli dalších informací. Stačilo mu pouze mít v ruce otcův telefon s operačním systémem Android.

Předestíráme, že následující řádky nejsou snahou o vyvolání senzace, ani nepřinášejí zásadní novinku – mají pouze upozornit na možný problém, se kterým se může setkat každý uživatel zařízení s operačním systémem Android.

Heslo k vašemu účtu Google může změnit kdokoli, kdo má v ruce váš telefon

Heslo k vašemu účtu Google může změnit kdokoli, kdo má v ruce váš telefon

Dotčený uživatel sice považuje uvedený postup za “zásadní bezpečnostní díru”, nicméně se střízlivým pohledem musíme konstatovat, že takto silná slova nejspíš nejsou na místě. Jak se tedy celá událost odehrála? Potomek si chtěl skrze nákupy v aplikaci koupit předměty do hry Subway Surfers, nicméně neznal heslo, které je nutné zadat před provedením platby v Obchodě Play. Využil tedy možnosti resetování hesla z telefonu, které Obchod Play v takových případech nabízí.

My jsme v redakci celý postup otestovali na Samsungu Galaxy S III s alternativní ROMkou CyanogenMod 11 M8 (Android 4.4.4). Vše jsme zdokumentovali a potvrzujeme, že tento způsob změny hesla skutečně funguje.

  1. Po schválení požadavků na oprávnění následuje potvrzení částky, eventuálně výběr platební karty.

    Jdeme si koupit aplikaci

    Jdeme si koupit aplikaci

    Schválení požadavků na oprávnění

    Schválení požadavků na oprávnění

    Potvrzení částky

    Potvrzení částky

  2. Následně je uživatel požádán o zadání hesla k účtu Google. Vedle pole pro zadání hesla je tlačítko s otazníkem, na které klepnete.
  3. Rozbalí se nabídka s popisem, co můžete udělat, pokud jste zapomněli heslo. Zde tedy klepnete na odkaz Zapomněli jste heslo? Pokračování probíhá ve webovém prohlížeči.

    Žádost na zadání hesla

    Žádost na zadání hesla

    Nabídka po klepnutí na tlačítko s otazníkem

    Nabídka po klepnutí na tlačítko s otazníkem

    Po klepnutí na Zapomněli jste heslo? budete pokračovat v prohlížeči

    Po klepnutí na Zapomněli jste heslo? budete pokračovat v prohlížeči

  4. Zde je uživatel požádán o zadání posledního hesla, které si pamatuje. Stačí stisknout tlačítko Nevím a pokračovat dál.
  5. Následuje nabídka resetování hesla v telefonu Android, kde klepnete na Odeslat oznámení.

    Na žádost o zadání staršího hesla odpovíte Nevím

    Na žádost o zadání staršího hesla odpovíte Nevím

    Následuje nabídka resetování hesla v telefonu Android

    Následuje nabídka resetování hesla v telefonu Android

  6. V dalším dialogu potvrdíte, že jste žádali o resetování hesla stiskem tlačítka Ano a poté Povolit resetování hesla.
  7. Poté budete požádáni o dvojí zadání nového hesla, aniž byste ve kterékoli fázi museli doložit, že jste oprávněným uživatelem účtu, jehož přístupové údaje hodláte změnit. Jediné, co jste potřebovali k dosažení cíle, je mít na několik okamžiků v ruce telefon či tablet, používající daný účet k nákupům v Obchodě Play.

    Žádali jste o resetování hesla? Ano!

    Žádali jste o resetování hesla? Ano!

    Povolit resetování hesla

    Povolit resetování hesla

    A už můžete zadávat nové heslo k účtu Google

    A už můžete zadávat nové heslo k účtu Google

S takto změněným heslem lze pak pochopitelně přistupovat ke všem službám Google, včetně elektronické pošty, kalendáře, nebo právě zmíněným nákupům aplikací, knih, písniček a filmů v Obchodě Play.

Závěrečné poučení je nasnadě: střežte bedlivě svá zařízení s Androidem a pečlivě zvažujte, komu je dovolíte používat. Není také marné zamyslet se nad zabezpečením odemykací obrazovky PINem, heslem či alespoň gestem, aby výše uvedený postup nemohl provést kdokoli, kdo například najde ležet telefon na stole.

Zdroje: Reddit, Android Soul.

 

Komentáře

Xender

Xender 0

z aplikace
30.7.2014 12:07

Proto telefon nikomu nepučuju

rokyshit

z aplikace
30.7.2014 12:09

U Galaxy 5 leda tak starou belu.Je chráněn čtečkou otisků prstů.Nikdo nemá šanci.

jakub

jakub

z aplikace
30.7.2014 12:10

A pak si najdu jeho mobil v android manageru na netu od googlu a dám mu mobil do továrního nastavení. (když by se u něj přihlásil na mě a kupoval si tak appky a další věci, co ste zmínili) :D

Jiří

Jiří

30.7.2014 12:33

A co dvoufázové ověření? Určitě by to chtělo ještě ten kód z té aplikace nebo vygenerovaný na webu. Ale pokud je ta aplikace s tím generátorem taky v telefonu tak to asi taky nebude problém se přesto dostat. Nebo jste to zkoušeli na účtu s dvoufázovým ověřením?

sammy

sammy

30.7.2014 12:36

moje heslo nie, lebo sa meni cez ine tel.cislo :D

Tad

Tad

z aplikace
30.7.2014 12:41

Cerberus a CM11 to částečně pojistí a kdyby náhodou tak wipe :)

ArtanisX

z aplikace
30.7.2014 12:41

Myslím že „dotčený uživatel” má pravdu, k čemu tam to heslo je, když ho obejde i dítě? Pokud nebude účet ověřen alespoň přes mail…

Tom

Tom

30.7.2014 13:00

Neomlouvejte se předem článku za něco co nechcete .. tušim že to je kuli těm diskutérům tady kterejm vadí kde co :D

buralien

buralien

30.7.2014 13:03

@ArtanisX: overeni pres mail nedava smysl protoze je vysoka pravdepodobnost ze ten mail zase prijde na to stejne zarizeni.

N/A

N/A

30.7.2014 13:06

Používám 2-Step Verification, čili krok “Potvrzení resetování hesla…” už probíhá jinak. Jsou na výběr tři možnosti, z nichž žádnou nemám chuť testovat. :-)

Samozřejmě, že pokud v takovém případě dám útočníkovi spárovaný telefon, tak mou identitu prokáže. To jsou takové pomyslné klíče od domu.

LinS

Tomáš Filip 0

30.7.2014 13:10

Řešením je například MIUI, kde si nastavím zabezpečení příslušné aplikace (například Google Play nebo internetového prohlížeče). Existují na to i aplikace, které dokáží totéž.

Game

z aplikace
30.7.2014 13:34

Dobrej návod pro děti :D

Karel

Karel

30.7.2014 13:57

To tam ti tupci nemuzou dat dialog, kde uzivatel napred musi napsat sve aktualni heslo? Za takovouhle diru bych strihal koule tupyma nuzkama….

Daidalos

Daidalos

30.7.2014 14:21

Karel: Jak tam může člověk zadat heslo, když ho například zapoměl a potřebuje vygenerovat nové? :D občas přemýšlet

Dr. Žirafus

Dr. Žirafus

30.7.2014 15:10

Nepředestíráte, ale předesíláte. Dejte to po sobě občas někomu přečíst, prosím.

Lutzi774CZ

30.7.2014 15:30

Tohle funguje i když má člověk DVOJFÁZOVÉ OVĚŘENÍ a nebo nikoliv?

zdenek

zdenek

30.7.2014 16:05

2Dr. Žirafus: třebas jen předstírají.. :-D

Karel

Karel

30.7.2014 16:45

2 Daidalos: No ja nevim, ale kdyz zapomenu heslo treba k seznam emailu, tak holt musim nejak prokazat seznam podpore(znam obsah svych mailu, takze jim ho popisu ), ze jsem to ja a oni mi heslo zresetuji – urcite lepsi nez tato google “featura”, kdyby to slo aspon nekde v nastaveni vypnout….

Karel

Karel

30.7.2014 16:51

No reseni je jeste asi nemit platebni kartu zadanou v play(ted jsem zkousel na svym telefonu), pak se ten kokot dialog snad neda vyvolat (nebo nekdo napred musi zadat kartu)…to jsou fakt voli v tom googlu….

Jerry

Jerry

30.7.2014 16:52

Tak za bug a rozhodně velký to teda považuju, k čemu je sebelepší heslo, když ho pak každý moula může takto primitivně resetovat a stačí se jen dostat k telefonu….

raději bych byl, aby se dalo zatrhnout, že heslo prostě resetovat nejde a když ho zapomenu tak smůla. Případně by měl s Googlem spárované číslo účtu u banky a musel bych z něj odeslat třeba 1USD na účet Google pro odblokování…

Jerry

Jerry

30.7.2014 16:55

BTW Jak se tu píše o dvoufázovém ověření – to je taky uplně k ničemu… Zkoušel jsem se tak nabourat sám k sobě a stačí když dotyčného trochu znáte a heslo mu resetujete taky… Stačí odpovědět na otázky typu “Se kterými osobami si píšete nejčastěji” (prostě zadáte přítelkyni, rodinu atd) a ještě nějaké a bylo to…

Soaron

Soaron

30.7.2014 19:25

Väčšina tu diskutijúcich asi nechápe pojmu dvojfaktorové overovanie, tak vysvetlím. Pod týmto pojmom sa skrýva dvojité overenie užívateľa. Najčastejšie a najbezpečnejšie sa to rieši tak, že užívateľ sa overí nečim, čo má (nejaký HW kľúč, certifikát, telefón) a niečim, čo vie (heslo). Pri spomenutom postupe telefón máš a heslo si zadal. Jedná sa teda o DVOJFAKTOROVÉ OVEROVANIE. Dalo by sa jedine namietať tomu, že prečo sa nevyžaduje heslo priamo pri zmene. To by však znamenalo, že by sa nedalo zmeniť zabudnuté heslo.

freedom

freedom

z aplikace
30.7.2014 22:04

koukám, kolik ma pan redaktor prohlizecu :D :D to zrovna testujete nebo opravdu nevite poradne co chcete? :) :D

J.dvorak85

Honza Dvořák 0

31.7.2014 9:17

freedom:
Používáme více prohlížečů pro různé testování, recenze i články. Vypadá to komicky, ale lepší než je stále instalovat a mazat :)

Vyzkoušel jsem a opravdu to funguje, to je docela FAIL :( O to víc si dávejte pozor na svůj telefon.

jira

jira

z aplikace
31.7.2014 10:51

Však když si k účtu nepřiřadíte telefonní číslo tak to nemůže fungovat ne?

Peoa

Peoa

31.7.2014 17:43

Hlasim, ze je to naozaj jednoduche a funguje to. Zmenim heslo a mam hned plny pristup k cudziemu google uctu. Parada … Budem to pouzivat :-)))

David

David

1.8.2014 0:47

Myslím že problém se zapomenutým telefonem na stole by ve většině případů mohla vyřešit nějaká prodleva – např. 2 hodiny. Kdo opravdu zapomněl heslo si už počká a kdo to zkouší zneužít, je velká pravděpodobnost že se do té doby k telefonu vrátím. Nicméně kdyby koupil něco v obchodě Play, tak by to stejně koupil na můj účet. Navíc appku do 15-ti minut vrátím. In-App nákup netuším. Ale zřejmě by se to dalo reklamovat u Googlu, vzhledem k tomu, že je to bezpečnostní nedostatek z jejich strany.

Pepa

Pepa

1.8.2014 7:58

Cez Google Wallet sa da kupit na internete prakticky cokolvek, nie ?
Takze sa to da celkom slusne zneuzit. Pozicajte mi niekto vas mobil, potrebujem si nakupit nejake pristupy na porno stranky …

MILOS

MILOS

z aplikace
2.8.2014 20:39

Trochu jsu už z toho zmatenej…Takže dvoufazove ověření při resetovani hesla v aplikací Obchod Play v mobilu jde nebo nejde obejít tím trikem v uvedeným v článku? A Google nechystá tak náhodou nějakou novou aktualizací aplikace Obchod Play u který to nebude možné tak snadno to obejít? Tak to by mě docela dost zajímalo??? Takže dvoufazove ověření je tedy k ničemu.že se to dá obejít i bez něj…tak to je teda pěknej bordel jestli je to vše pravda…

RSS (komentáře k článku)