O Google desenvolveu uma correção para a vulnerabilidade no protocolo de autenticação ClientLogin que atinge 99,7% dos smartphones Android.
A atualização veio em resposta ao aviso publicado no começo do mês por pesquisadores da Universidade de Ulm na Alemanha, que alertava que os dispositivos com a plataforma poderiam ser explorados por um ataque do tipo sidejacked. Assim, como as sessões de cookies dos sites podem ser roubadas (sidejacked), os invasores podem se passar pelo usuário, e receber dados que são trocados pelos smartphones Android e que estejam conectados a uma rede Wi-Fi insegura – usando uma ferramenta como o Wireshark.
A vulnerabilidade ainda permite capturar tokens para qualquer serviço Google que use o protocolo de autenticação ClientLogin. Os aplicativos que usam esse protocolo incluem o Google Calendar, Contacts e Picasa, bem como apps de terceiros para o Facebook e Twitter.
Os usuários de smartphones Android que executam o último sistema operacional – 2.3.4 – já estão protegidos contra esse problema. Mas 99,7% deles ainda usam a plataforma antiga.
Saiba mais sobre Android. Visite o espaço de Luís Wilker, blogueiro do IT Web
Assim, a solução da companhia foi uma correção que força os aparelhos a usarem HTTPS – para manter os dados codificados – quando sincronizados com o Google Contacts ou Calendar, de modo que as credenciais de autenticação não sejam interceptadas.
Nenhum ataque que explorasse a vulnerabilidade foi observado. A correção para o Picasa ainda não está pronta, no momento é aconselhável que os usuários não usem redes Wi-Fi inseguras, já que essa atitude previne que as credenciais de autenticação sejam roubadas.
Saiba mais:
Quase 100% dos Androids transmitem dados de usuários
Android: veja vulnerabilidade em cada versão
Google: dados sobre localização “são muito valiosos”
Google no Brasil: rastreamento de dados é opcional
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…
por Bruno Paiuca Dentro da jornada de digitalização dos ecossistemas de segurança, a validação e…
A Alphabet, controladora do Google, planeja levantar US$ 80 bilhões por meio da venda de…
O Sberbank, maior banco da Rússia, está oferecendo modelos de inteligência artificial (IA) a países…
A Palo Alto Networks registrou forte aumento na procura de clientes por orientações sobre segurança…
O iFood confirmou nesta terça-feira (03) o vazamento de dados cadastrais de aproximadamente 1,2 milhão…