Cerca de 99,7 por cento dos smartphones Android estão a colocar em risco a segurança e privacidade dos seus utilizadores, defende um estudo realizado por uma equipa de investigadores da Universidade de Ulm, na Alemanha.
Segundo explicam os especialistas em segurança, o problema está relacionado com o sistema utilizado para autenticação em serviços da Google baseados na Web, como o Google Calendar e Contacts, que emitem tokens de autenticação.
O recurso a este mecanismo é útil ao utilizador, na medida em que elimina a necessidade de fazer login de cada vez que se quer usar um serviço. Mas também significa que um intruso numa rede WiFi usada pelo telefone pode aceder a esses dados, avançam.
Isto acontece porque, por vezes, esses tokens são enviados em formato de texto simples através dessas redes sem fios, sem recurso a encriptação - ou seja, quem for capaz de aceder a eles consegue ler a informação. E os tokens são válidos por 14 dias, verificou-se.
A vulnerabilidade pode ter como consequência o acesso por parte de estranhos não só aos dados de autenticação dos utilizadores, como, consequentemente, à informação armazenada por estes nos serviços, mas Bastian Konings, Jens Nickles e Florian Schaub afirmam que até à data não há indicação de que a falha esteja a ser explorada para fins criminosos.
Ainda assim, os especialistas deixam algumas sugestões a quem usa Android, começando pelo upgrade para uma versão do SO que suporte HTTPS para a sincronização com o Google Calendar e Contacts, como a 2.3.4 - que assegura conexão segura para estes dois serviços, mas não para a sincronização com o Picasa.
Desligar a sincronização automática quando se usam redes WiFi públicas e evitar usar aplicações visadas pela falha são outros dos conselhos, explicados na mensagem dos autores do estudo.
Fonte: Tek Sapo Portugal
Segundo explicam os especialistas em segurança, o problema está relacionado com o sistema utilizado para autenticação em serviços da Google baseados na Web, como o Google Calendar e Contacts, que emitem tokens de autenticação.
O recurso a este mecanismo é útil ao utilizador, na medida em que elimina a necessidade de fazer login de cada vez que se quer usar um serviço. Mas também significa que um intruso numa rede WiFi usada pelo telefone pode aceder a esses dados, avançam.
Isto acontece porque, por vezes, esses tokens são enviados em formato de texto simples através dessas redes sem fios, sem recurso a encriptação - ou seja, quem for capaz de aceder a eles consegue ler a informação. E os tokens são válidos por 14 dias, verificou-se.
A vulnerabilidade pode ter como consequência o acesso por parte de estranhos não só aos dados de autenticação dos utilizadores, como, consequentemente, à informação armazenada por estes nos serviços, mas Bastian Konings, Jens Nickles e Florian Schaub afirmam que até à data não há indicação de que a falha esteja a ser explorada para fins criminosos.
Ainda assim, os especialistas deixam algumas sugestões a quem usa Android, começando pelo upgrade para uma versão do SO que suporte HTTPS para a sincronização com o Google Calendar e Contacts, como a 2.3.4 - que assegura conexão segura para estes dois serviços, mas não para a sincronização com o Picasa.
Desligar a sincronização automática quando se usam redes WiFi públicas e evitar usar aplicações visadas pela falha são outros dos conselhos, explicados na mensagem dos autores do estudo.
Fonte: Tek Sapo Portugal
Comentários