99% dos Androids podem vazar dados

• 17 de maio de 2011|
• 19h28|
• Tweet este Post

Por Murilo Roncolato

Pesquisadores alemães da Universidade de Ulm descobriram que invasores podem obter dados de autenticação de 99% dos usuários do sistema operacional do Google, Android, e usar a conta roubada sem ser notado.

—-
• Siga o ‘Link’ no Twitter e no Facebook

Bastian Konings, Jens Nickels, e Florian Schaub partiram de outras descobertas de colegas que notaram que aplicativos já instalados nos aparelhos e apps compatíveis com Android enviavam informações não encriptadas (via conexão http, e não na segura, a contrário do https) para o Google, tornando-as vulneráveis, quando conectados a redes Wi-Fi abertas.

Aplicativos como Google Calendar, Picasa e Google Contacts, quando sincronizados, gravam informações no protocolo de autenticação ClientLogin, o que permite que o usuário volta a usar esses serviços por no máximo duas semanas sem ter de fornecer informações de login, como senha. Em dezembro do ano passado, em fórum chamado “Android Enthusiasts”, já se publicava a descoberta: todos os apps citados transmitiam as informações sem encriptação, ou seja, de forma não segura, tornando-o “aberto” para quem quiser ver.

Utilizando programas comuns com o Wireshark, que monitora tráfegos de rede, é possível saber tudo o que entra e sai do computador, incluindo esse tipo de arquivo não encriptado. Com as informações obtidas com o authToken (a “memória de autenticação”) o invasor poderia deletar ou editar contatos, ter acesso ao eventos gravados no Google Calendar e às fotos mantidas nas galerias do Picasa.

“Nós queríamos saber se é realmente possível fazer um ‘impersonation attack’ [quando o invasor usa a conta como se fosse o dono, sem ser notado] contra serviços do Google e começamos nossa análise”, escrevem os pesquisadores alemães. “A resposta curta é: sim, é possível, e é bastante fácil de fazê-lo”. Eles alertam ainda quea brecha não está só no Calendar, Picasa e Contacts, mas que todo e qualquer serviço do Google que faça uso do protocolo sem a encriptação.

O problema afeta cerca de 99,7% dos usuários

O Google fez uma atualização em função do problema, mas corrigiu apenas os apps Calendar e Contacts e disse estar “investigando” o aplicativo de galeria de fotos, Picasa. Mas a atualização só está disponível para celulares com Android 2.3.4 ou superior, ou seja, apenas 0,3% dos usuários.

No relatório, os pesquisadores dão sugestões do que donos de aparelhos Android podem fazer até que o problema seja resolvido definitivo pelo Google:

1) Atualizar o software para a versão 2.3.4 (isso se o seu aparelho/fabricante permitir);
2) Desligar a sincronização automática nas configurações do aparelho quando conectar-se a redes abertas Wi-Fi;
3) Não permitir que o aparelho grave na memória redes Wi-Fi abertas, para prevenir reconexões automáticas;
4) Evitar redes abertas quando estiver usando estes aplicativos.

Para ler o relatório dos pesquisadores, clique aqui.

Imagem do Wireshark mostrando os dados do ClientLogin solicitado para o Picasa. FOTO: Reprodução