O Android, sistema operacional móvel do Google, que tem como principal rival do iOS, plataforma da Apple, pode enfrentar um problema maior do que o desânimo dos desenvolvedores diante da grande fragmentação do sistema: uma pesquisa revelou que 99,7% desses smartphones estão vulneráveis a ataques que envolvem roubo de informações pessoais.
O estudo, realizado por um grupo de pesquisadores da Universidade de Ulm, na Alemanha, descobriu que, devido a uma vulnerabilidade no protocolo de autenticação ClientLogin, qualquer aparelho que esteja com uma versão 2.3.3 ou inferior está sujeito a invasões de crackers. Entre os aparelhos testados, estavam o Nexus One (Android 2.1), o HTC Incredible S (2.3.3) e o Motorola Xoom, que possui o Honeycomb, versão 3.0 e mais atualizada do SO do Google.
O ClientLogin, protocolo utilizado para autenticar aplicativos instalados no dispositivo, precisa de um authToken (token de autorização, em tradução livre) dos servidores do Google para repassar o nome e a senha do usuário para acessar informações pessoais, através de uma conexão http criptografada; este authtoken pode ser utilizado outras vezes, e tem duração máxima de duas semanas. Contudo, se ele é utilizado em uma conexão não-criptografada (como a rede aberta de local público, por exemplo), um cracker pode utilizar este mesmo passe para ter acesso aos serviços do usuário e todas as informações pessoais que estejam disponíveis por meio da API, desde que saiba como fazê-lo.
Não só perfis de redes sociais (como Twitter e Facebook) ficam em risco, como o usuário malicioso pode também ter acesso total aos contatos, calendários, e-mails e álbuns do respectivo usuário Google, podendo apagar ou modificar quaisquer informações até que o token perca a validade, tempo suficiente para causar um bom estrago nas contas da vítima.
Ao final, o documento aconselha aos usuários atualizarem, se possível, para a versão 2.3.4 do Android, além de desligar sincronizações automáticas ao se conectar com redes Wi-Fi abertas, e evitar sempre que possível esse tipo de conexão.
Dirigindo-se ao Google, os pesquisadores pedem à companhia que “o tempo de vida do authToken seja drasticamente limitado”, além da possibilidade do Google Services rejeitar as requisições do ClientLogin feitas a partir de conexões inseguras, para reforçar o uso do https. De acordo com o texto, isso já acontece, por exemplo, com a API do Google Docs, e deveria ser obrigatório para todas a APIS da companhia.
IDG
