Telefones com sistema operacional Android nas versões anteriores a 2.3.4 enviam para a internet as chamadas “tokens de autenticação” de forma insegura, segundo um estudo de pesquisadores da Universidade de Ulm, na Alemanha. As tokens servem como substituição das senhas, para que elas não precisem ser enviadas constantemente. Mas a pesquisa aponta que elas são enviadas sem criptografia, permitindo a captura quando o celular é usado em redes Wi-Fi abertas.Os pesquisadores Bastian Konings, Jens Nickels, e Florian Schaub, descobridores da vulnerabilidade, dizem acreditar que o problema ainda não foi explorado por criminosos. Os aplicativos vulneráveis são o Google Calender, o Google Contacts e as galerias de fotos do Picasa.
Até o momento, o Google ainda não comentou o problema, mas o erro já foi corrigido na versão 2.3.4 do Android. No entanto, essa versão do sistema ainda está instalada em poucos aparelhos e vários modelos não podem ser atualizados para essa versão. Acredita-se que o Google pode estar trabalhando com operadoras e fabricantes para lançar uma atualização de segurança.
Ao usar uma rede sem fio aberta, todos os dados ficam no “ar” e podem ser capturados pelos outros participantes da rede. Algo semelhante ao que foi demonstrado pelo programa Firesheep apresentado no final do ano passado.
A solução, como no caso do Firesheep, é o uso de conexões seguras (HTTPS). Os trio de pesquisadores também recomendou ao Google que diminua o tempo de validade de um token, que atualmente é de até duas semanas.
Fonte: G1
Nenhum comentário:
Postar um comentário