Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Google libera correção para bug que permite roubo de dados pessoais no Android

Trechos do IDG Now:

Uma falha de segurança descoberta no Android, que permitia o roubo de dados pessoais em 99,7% dos celulares com a plataforma, foi corrigida em todos os aparelhos com sistema operacional do Google, de acordo com o porta-voz da empresa.

(…) Hoje (18/05), a companhia começou a disponibilizar para todas  as versões do Android o pacote que corrige esse problema; o update é global e automático, e não precisa da atualização de software do usuário final. O Google espera que esse processo seja completado e atinja todos os dispositivos ao redor do mundo em até uma semana. (via idgnow.uol.com.br)


• Publicado por Augusto Campos em 2011-05-19

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Mauro (usuário não registrado) em 19/05/2011 às 8:21 am

    Reação rápida. Isso é bom. Não dá para reclamar de ser aplicada automáticamente, isso é análogo às atualizações automáticas das distros linux. Eu me pergunto quantas ocorreram ‘silenciosamente’.

    Existe alguma página web descrevendo essas atualizações, como ocorre com as atualizações de segurança das distros linux ? Isso indicaria um nível de transparência bastante tranquilizador.

    Mauro (usuário não registrado) em 19/05/2011 às 8:40 am

    A fonte da notícia, que o IDG não citou claramente é:

    http://blogs.computerworld.com/18308/google_android_security_flaw

    Tem uns comentários interessantes:

    Google Account passwords have never been sent in clear text. The fact that Contacts and Calendar didn’t use HTTPS just means that Google didn’t think this information was important. Facebook and Twitter made the same design decision with their apps. There was no ‘bug’ that needed ‘fixing’. Now that it’s news, Google has decided that it is important.

    There is no client-side intervention required. Once the patch is rolled out to the servers, clients will automatically start using the new token methods. There is no download for the phone/tablet/other device as it’s a server side fix.

    Até as operadoras brasileiras liberarem essa atualização para os usuários…

    Outro Marcos (usuário não registrado) em 19/05/2011 às 10:08 am

    @samamba
    Você esqueceu de ler que “não depende de atualização de software do usuário final”. É uma atualização somente no lado servidor.

    Fellipe Weno (usuário não registrado) em 19/05/2011 às 10:20 am

    http://www.uni-ulm.de/en/in/mi/staff/koenings/catching-authtokens.html

    Tem um screenshot de uma TCP Session, mostrando o token do Google, pelo que me parece, a pessoa so ‘escutou’, capturou e esta vendo… esse ‘patch’ vai forçar todas as conn a usar SSL?

    tonyfrasouza (usuário não registrado) em 19/05/2011 às 10:55 am

    E assim caminha a humanidade. Estou com a Google sim, mas acredito que dependa muito mais de nossas atitudes… Minha mãe sempre me dizia: Presta atenção menino!!!

    @Outro Marcos, Oooops. Passou batido. Obrigado pelo “lembrete”.

    Nota mental: ler e reler antes de postar. :P

    André Moraes (usuário não registrado) em 19/05/2011 às 5:15 pm

    “There was no ‘bug’ that needed ‘fixing’. Now that it’s news, Google has decided that it is important.”

    Deixar de usar HTTPS e usar HTTP para trafegar identificadores de sessão (basicamente os auth tokens são isso) que duram por quase 2 semanas é bug sim.

    Bug (na cabeça) no arquiteto que projetou a solução desse jeito.

    Se fossem tokes que durassem alguns minutos ai até vai.

Este post é antigo (2011-05-19) e foi arquivado. O envio de novos comentários a este post já expirou.