Google corrige vulnerabilidade que afeta Android
O Google desenvolveu uma correção para a vulnerabilidade no protocolo de autenticação ClientLogin que atinge 99,7% dos smartphones Android.
A atualização veio em resposta ao aviso publicado no começo do mês por pesquisadores da Universidade de Ulm na Alemanha, que alertava que os dispositivos com a plataforma poderiam ser explorados por um ataque do tipo sidejacked. Assim, como as sessões de cookies dos sites podem ser roubadas (sidejacked), os invasores podem se passar pelo usuário, e receber dados que são trocados pelos smartphones Android e que estejam conectados a uma rede Wi-Fi insegura – usando uma ferramenta como o Wireshark.
A vulnerabilidade ainda permite capturar tokens para qualquer serviço Google que use o protocolo de autenticação ClientLogin. Os aplicativos que usam esse protocolo incluem o Google Calendar, Contacts e Picasa, bem como apps de terceiros para o Facebook e Twitter.
Os usuários de smartphones Android que executam o último sistema operacional – 2.3.4 – já estão protegidos contra esse problema. Mas 99,7% deles ainda usam a plataforma antiga.
Saiba mais sobre Android. Visite o espaço de Luís Wilker, blogueiro do IT Web
Assim, a solução da companhia foi uma correção que força os aparelhos a usarem HTTPS – para manter os dados codificados – quando sincronizados com o Google Contacts ou Calendar, de modo que as credenciais de autenticação não sejam interceptadas.
Nenhum ataque que explorasse a vulnerabilidade foi observado. A correção para o Picasa ainda não está pronta, no momento é aconselhável que os usuários não usem redes Wi-Fi inseguras, já que essa atitude previne que as credenciais de autenticação sejam roubadas.
Saiba mais:
Quase 100% dos Androids transmitem dados de usuários
Android: veja vulnerabilidade em cada versão
Google: dados sobre localização “são muito valiosos”
Google no Brasil: rastreamento de dados é opcional
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
