Por Murilo Roncolato Pesquisadores alemães da Universidade de Ulm descobriram que invasores podem obter dados de autenticação de 99% dos usuários do sistema operacional do Google, Android, e usar a conta roubada sem ser notado.Leia mais...
Bastian Konings, Jens Nickels, e Florian Schaub partiram de outras descobertas de colegas que notaram que aplicativos já instalados nos aparelhos e apps compatíveis com Android enviavam informações não encriptadas (via conexão http, e não na segura, a contrário do https) para o Google, tornando-as vulneráveis, quando conectados a redes Wi-Fi abertas.
Aplicativos como Google Calendar, Picasa e Google Contacts, quando sincronizados, gravam informações no protocolo de autenticação ClientLogin, o que permite que o usuário volta a usar esses serviços por no máximo duas semanas sem ter de fornecer informações de login, como senha. Em dezembro do ano passado, em fórum chamado “Android Enthusiasts”, já se publicava a descoberta: todos os apps citados transmitiam as informações sem encriptação, ou seja, de forma não segura, tornando-o “aberto” para quem quiser ver.
Utilizando programas comuns com o Wireshark, que monitora tráfegos de rede, é possível saber tudo o que entra e sai do computador, incluindo esse tipo de arquivo não encriptado. Com as informações obtidas com o authToken (a “memória de autenticação”) o invasor poderia deletar ou editar contatos, ter acesso ao eventos gravados no Google Calendar e às fotos mantidas nas galerias do Picasa.
“Nós queríamos saber se é realmente possível fazer um ‘impersonation attack’ [quando o invasor usa a conta como se fosse o dono, sem ser notado] contra serviços do Google e começamos nossa análise”, escrevem os pesquisadores alemães. “A resposta curta é: sim, é possível, e é bastante fácil de fazê-lo”. Eles alertam ainda quea brecha não está só no Calendar, Picasa e Contacts, mas que todo e qualquer serviço do Google que faça uso do protocolo sem a encriptação.
 |
No relatório, os pesquisadores dão sugestões do que donos de aparelhos Android podem fazer até que o problema seja resolvido definitivo pelo Google:
1) Atualizar o software para a versão 2.3.4 (isso se o seu aparelho/fabricante permitir);
2) Desligar a sincronização automática nas configurações do aparelho quando conectar-se a redes abertas Wi-Fi;
3) Não permitir que o aparelho grave na memória redes Wi-Fi abertas, para prevenir reconexões automáticas;
4) Evitar redes abertas quando estiver usando estes aplicativos.
Para ler o relatório dos pesquisadores, clique aqui.
Imagem do Wireshark mostrando os dados do ClientLogin solicitado para o Picasa. FOTO:
http://blogs.estadao.com.br/link/99-dos-androids-podem-vazar-dados/
0 comentários:
Postar um comentário