Opdatering, onsdag kl. 11:45 PT: Google har udstedt en løsning, der tvinger de berørte Google apps til at oprette forbindelse via den sikre protokol HTTPS. Så længe du opdaterer dine apps, når rettelsen udløses, påvirker denne offentlige Wi-Fi-sårbarhed dig ikke. Indtil da er det bedst at bruge offentlig Wi-Fi med stor forsigtighed, eller følg vejledningen nedenfor.

Android-telefoner og tablets, der kører version 2.3.3 og tidligere, lider af en kalender og kontaktoplysninger sårbarhed på offentlige Wi-Fi-netværk, ifølge en ny rapport. Der er dog nogle konkrete trin, du kan tage for at beskytte dig selv.

Sådan fungerer det. Sårbarheden findes i ClientLogin Protocol API, som strømlinerer, hvordan Google-appen snakker til Googles servere. Ansøgninger anmode om adgang ved at sende et kontonavn og en adgangskode via sikker forbindelse, og adgangen er gyldig i op til to uger. Hvis godkendelsen sendes over ukrypteret HTTP, kan en angriber bruge netværkssnusningsprogrammer til at stjæle den over et legitimt offentligt netværk eller forfalske netværket fuldstændigt ved hjælp af et offentligt netværk med et fælles navn, som f.eks. "Lufthavn" eller "bibliotek". Selv om dette ikke virker i Android 2.3.4 eller nyere, herunder Honeycomb 3.0, der kun dækker 1 procent af enheder, der ikke er i brug.

Selvfølgelig er den sikreste løsning at undgå at bruge offentlige ukrypterede Wi-Fi-netværk ved at skifte til mobile 3G og 4G-netværk, når det er muligt. Men det er ikke altid en mulighed, især for Wi-Fi-net tablet ejere eller dem med stramme data planer.

En legitim, hvis omhyggelig mulighed er at deaktivere synkronisering for de berørte Google apps, når de er tilsluttet via offentlig Wi-Fi. Sikkerhedsrisikoen påvirker apps, der forbinder til skyen ved hjælp af en protokol kaldet authToken, ikke HTTPS. Apperne testet af forskerne, der skrev rapporten, der afslørede sårbarheden, omfattede Kontakter, Kalender og Picasa. Gmail er ikke sårbart, fordi det bruger HTTPS.

Dette er imidlertid en besværlig løsning, da det kræver at gå ind i hver app, før du tilslutter og manuelt deaktiverer synkronisering i løbet af den tid, du er på det bestemte offentlige Wi-Fi-netværk. En meget nemmere løsning er at bruge en app. En af de bedste apps til sikker kommunikation er SSH Tunnel (download), som blev designet til Android-brugere, der sidder bag Great Firewall i Kina. SSH Tunnel har nogle begrænsninger: Du skal slå din telefon til at bruge den, og beslutningstagerne anbefaler stærkt folk, der ikke er i Kina, at søge andre steder for en sikker tunneling-app.

En bedre løsning ser ud til at være ConnectBot (download), som endda tilbyder en version fra sit websted, der understøtter pre-Cupcake versioner af Android.

Brugere af custom-ROM'er fra tredjepart som CyanogenMod bør kontrollere, hvilke sikkerhedsforbedringer, deres installerede ROM kommer med. CyanogenMod har for eksempel VPN-support indbygget og slukket. Cyanogen-brugere kan få adgang til det fra menuen Indstillinger, tryk på Trådløs og Netværksindstillinger, og tryk derefter på VPN-indstillinger.

I betragtning af fragmenteringen på Android-enheder er dette en alvorlig sikkerhedsrisiko, der kun begrænses af begrænsningen til bestemte apps og offentlige netværk. Den ideelle løsning er, at Google frigiver appreparationer eller Android-opdateringer hurtigst muligt, selvom virksomheden ikke har angivet, hvilke skridt den planlægger at tage, eller hvornår. Som altid, når du bruger offentlige Wi-Fi-netværk, fortsæt med forsigtighed.