Página Inicial



twitter

Facebook

  Notícia
|

 

99,7% DOS CELULARES ANDROID SÃO VULNERÁVEIS A ROUBO DE DADOS, REVELA ESTUDO

18/05/2011

O Android, sistema operacional móvel do Google, que tem como principal rival do iOS, plataforma da Apple, pode enfrentar um problema maior do que o desânimo dos desenvolvedores diante da grande fragmentação do sistema: uma pesquisa revelou que 99,7% desses smartphones estão vulneráveis a ataques que envolvem roubo de informações pessoais.

O estudo, realizado por um grupo de pesquisadores da Universidade de Ulm, na Alemanha, descobriu que, devido a uma vulnerabilidade no protocolo de autenticação ClientLogin, qualquer aparelho que esteja com uma versão 2.3.3 ou inferior está sujeito a invasões de crackers. Entre os aparelhos testados, estavam o Nexus One (Android 2.1), o HTC Incredible S (2.3.3) e o Motorola Xoom, que possui o Honeycomb, versão 3.0 e mais atualizada do SO do Google.

O ClientLogin, protocolo utilizado para autenticar aplicativos instalados no dispositivo, precisa de um authToken (token de autorização, em tradução livre) dos servidores do Google para repassar o nome e a senha do usuário para acessar informações pessoais, através de uma conexão http criptografada; este authtoken pode ser utilizado outras vezes, e tem duração máxima de duas semanas. Contudo, se ele é utilizado em uma conexão não-criptografada (como a rede aberta de local público, por exemplo), um cracker pode utilizar este mesmo passe para ter acesso aos serviços do usuário e todas as informações pessoais que estejam disponíveis por meio da API, desde que saiba como fazê-lo.

Não só perfis de redes sociais (como Twitter e Facebook) ficam em risco, como o usuário malicioso pode também ter acesso total aos contatos, calendários, e-mails e álbuns do respectivo usuário Google, podendo apagar ou modificar quaisquer informações até que o token perca a validade, tempo suficiente para causar um bom estrago nas contas da vítima.

Ao final, o documento aconselha aos usuários atualizarem, se possível, para a versão 2.3.4 do Android, além de desligar sincronizações automáticas ao se conectar com redes Wi-Fi abertas, e evitar sempre que possível esse tipo de conexão. Dirigindo-se ao Google, os pesquisadores pedem à companhia que ?o tempo de vida do authToken seja drasticamente limitado?, além da possibilidade do Google Services rejeitar as requisições do ClientLogin feitas a partir de conexões inseguras, para reforçar o uso do https. De acordo com o texto, isso já acontece, por exemplo, com a API do Google Docs, e deveria ser obrigatório para todas a APIS da companhia.

 
 
 
Fonte: IDgNow

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar