O Android, sistema operacional móvel do Google, que tem como principal rival do iOS, plataforma da Apple, pode enfrentar um problema maior do que odesânimo dos desenvolvedores diante da grande fragmentação do sistema: uma pesquisa revelou que 99,7% desses smartphones estão vulneráveis a ataques que envolvem roubo de informações pessoais.
O estudo, realizado por um grupo de pesquisadores da Universidade de Ulm, na Alemanha, descobriu que, devido a uma vulnerabilidade no protocolo de autenticação ClientLogin, qualquer aparelho que esteja com uma versão 2.3.3 ou inferior está sujeito a invasões de crackers. Entre os aparelhos testados, estavam o Nexus One (Android 2.1), o HTC Incredible S (2.3.3) e o Motorola Xoom, que possui o Honeycomb, versão 3.0 e mais atualizada do SO do Google.
O ClientLogin, protocolo utilizado para autenticar aplicativos instalados no dispositivo, precisa de um authToken (token de autorização, em tradução livre) dos servidores do Google para repassar o nome e a senha do usuário para acessar informações pessoais, através de uma conexão http criptografada; este authtoken pode ser utilizado outras vezes, e tem duração máxima de duas semanas. Contudo, se ele é utilizado em uma conexão não-criptografada (como a rede aberta de local público, por exemplo), um cracker pode utilizar este mesmo passe para ter acesso aos serviços do usuário e todas as informações pessoais que estejam disponíveis por meio da API, desde que saiba como fazê-lo.
Não só perfis de redes sociais (como Twitter e Facebook) ficam em risco, como o usuário malicioso pode também ter acesso total aos contatos, calendários, e-mails e álbuns do respectivo usuário Google, podendo apagar ou modificar quaisquer informações até que o token perca a validade, tempo suficiente para causar um bom estrago nas contas da vítima.
Ao final, o documento aconselha aos usuários atualizarem, se possível, para a versão 2.3.4 do Android, além de desligar sincronizações automáticas ao se conectar com redes Wi-Fi abertas, e evitar sempre que possível esse tipo de conexão. Dirigindo-se ao Google, os pesquisadores pedem à companhia que “o tempo de vida do authToken seja drasticamente limitado”, além da possibilidade do Google Services rejeitar as requisições do ClientLogin feitas a partir de conexões inseguras, para reforçar o uso do https. De acordo com o texto, isso já acontece, por exemplo, com a API do Google Docs, e deveria ser obrigatório para todas a APIS da companhia.
Fonte: Uol
