Oppdatering, onsdag klokka 11:45 PT: Google har utstedt en løsning som tvinger de berørte Google-appene til å koble til via den sikre protokollen HTTPS. Så lenge du oppdaterer appene dine når løsningen er trykket ut, vil dette offentlige Wi-Fi-sikkerhetsproblemet ikke påvirke deg. Inntil da er det best å bruke offentlig Wi-Fi med ekstrem forsiktighet, eller følg instruksjonene nedenfor.

Android-telefoner og -brett som kjører versjon 2.3.3 og tidligere, lider av en kalender- og kontaktinformasjonssårbarhet på offentlige Wi-Fi-nettverk, ifølge en ny rapport. Det er imidlertid noen konkrete skritt du kan ta for å beskytte deg selv.

Slik fungerer det. Sårbarheten er i API-klientprogrammet ClientLogin, som strømlinjerer hvordan Google-appen snakker til Googles servere. Søknader ber om tilgang ved å sende et kontonavn og passord via sikker tilkobling, og tilgangen er gyldig i opptil to uker. Hvis autentiseringen sendes over ukryptert HTTP, kan en angriper bruke nettverkssnusingsprogramvare til å stjele den over et legitimt offentlig nettverk, eller spoof nettverket helt ut med et offentlig nettverk med et felles navn, for eksempel "flyplass" eller "bibliotek". Mens dette ikke virker i Android 2.3.4 eller nyere, inkludert Honeycomb 3.0, som bare dekker 1 prosent av enheter som ikke er i bruk.

Selvfølgelig er den sikreste løsningen å unngå å bruke offentlige, ukrypterte Wi-Fi-nettverk ved å bytte til 3G og 4G-nettverk når det er mulig. Men det er ikke alltid et alternativ, spesielt for Wi-Fi-nettbrett-eiere eller de som har strenge dataplaner.

En legitim om omhyggelig mulighet er å deaktivere synkronisering for de berørte Google-appene når de er koblet til via offentlig Wi-Fi. Sikkerhetsrisikoen påvirker apper som kobler til skyen ved hjelp av en protokoll som kalles authToken, ikke HTTPS. Appene som ble testet av forskerne som skrev rapporten som avslørte sikkerhetsproblemet, inkluderte Kontakter, Kalender og Picasa. Gmail er ikke sårbart fordi det bruker HTTPS.

Dette er imidlertid en tungvint løsning, ettersom det krever å gå inn i hver app før du kobler til og manuelt deaktiverer synkronisering i løpet av tiden du er på det bestemte offentlige Wi-Fi-nettverket. En mye enklere løsning er å bruke en app. En av de beste applikasjonene for sikker kommunikasjon er SSH Tunnel (nedlasting), som ble utviklet for Android-brukere som stakk bak den store brannmuren i Kina. SSH Tunnel har noen begrensninger: du må rote telefonen for å bruke den, og beslutningstakere anbefaler sterkt folk som ikke er i Kina for å se andre steder for en sikker tunneling-app.

En bedre løsning ser ut til å være ConnectBot (nedlasting), som til og med tilbyr en versjon fra sitt nettsted som støtter pre-Cupcake-versjoner av Android.

Brukere av tilpassede rom fra tredjepart som CyanogenMod bør sjekke hvilke sikkerhetsforbedringer de installerte ROMene kommer med. CyanogenMod har for eksempel VPN-støtte innebygd og slått av. Cyanogen-brukere kan få tilgang til det fra Innstillinger-menyen, trykk på Trådløs og Nettverksinnstillinger, og klikk deretter på VPN-innstillinger.

Gitt fragmenteringen på Android-enheter, er dette en alvorlig sikkerhetsrisiko som bare reduseres av begrensningen til bestemte apper og offentlige nettverk. Den ideelle løsningen er at Google skal frigjøre appoppdateringer eller Android-oppdateringer så snart som mulig, selv om selskapet ikke har gitt noen indikasjon på hvilke skritt den planlegger å ta, eller når. Som alltid når du bruker offentlige Wi-Fi-nettverk, fortsett med forsiktighet.