Falha em aplicativos do Google no Android vaza tokens que permitem acesso a dados de usuário
A nota na ZDNet tem um pouco mais de detalhes técnicos, mas o trecho abaixo em português vem do G1:
Telefones com sistema operacional Android nas versões anteriores a 2.3.4 enviam para a internet “tokens de autenticação” de forma insegura, segundo um estudo de pesquisadores da Universidade de Ulm, na Alemanha. Tokens servem como substituição das senhas, para que elas não precisem ser enviadas constantemente. Mas a pesquisa aponta que elas são enviadas sem criptografia, permitindo a captura quando o celular é usado em redes Wi-Fi abertas.
Os pesquisadores Bastian Konings, Jens Nickels, e Florian Schaub, descobridores da vulnerabilidade, dizem acreditar que o problema ainda não foi explorado por criminosos. Os aplicativos vulneráveis são o Google Calender, o Google Contacts e as galerias de fotos do Picasa.
Até o momento, o Google ainda não comentou o problema, mas o erro já foi corrigido na versão 2.3.4 do Android. (…) (via g1.globo.com)
Seria uma boa oportunidade para as fabricantes de celular atualizarem Smartphones Android com boa vontade.
Senao, pobres consumidores…
Ah, mas veja, isso não interessa à elas. Se elas não atualizarem, o consumidor tem que comprar um novo telefone para ter acesso a novos produtos. Essa é a pegadinha do Android. RAAAAAAAAAA!
Com todas as versões que vivem saindo, e com a diversa quantidade de aparelhos diferente, a imensa maioria fica sem conseguir fazer um update caseiro (que não é um procedimento trivial). Muitas vezes a imagem não habilitar todas as capacidades do aparelho, ou o não existe uma imagem para baixar e ser aplicada.
Android não é, realmente, um sistema para smartphone Livre, ou até mesmo Open Source, já que nem os códigos eles divulgam.
Eu creio ser de consenso entre os senhores, que a segurança de softwares proprietários é muito menor. Então, podemos imaginar o que vem pela frente.
Afinal, quem usa rede de desconhecido?
Brincadeira isso…
O mais incrível, é que é uma das coisas mais simples de se resolver:
usar https no lugar de http
Mas até um tempo atrás até o GMail não usava HTTPS no aplicativo, apenas na hora de autenticar.
Pelo menos não foi detectado isso no Android Market (já que o mesmo envolve movimentações financeiras).
Isso me lembra o motivo de arquiteturas baseadas no OpenID e OAuth serem tão perigosas quando mal projetadas. :)
Hei de concordar com o Spif. Algumas notícias sobre a plataforma Android são bastante perturbadoras:
* Código-fonte do Honeycomb não publicado;
* Google barrando concorrente do Google Maps usando estratégias que lembram e muito a Microsoft;
* Para corrigir o exploit que vazava informações mesmo em celulares sem root, o Google modificou os celulares dos consumidores afetados de maneira remota e sem nenhuma confirmação;
E agora esta falha que só é corrigida numa versão que praticamente ninguém tem – eu, por exemplo, vou ficar pro resto da vida no 2.2.
Não sei exatamente o que se passa na cabeça dos figurões, mas isso não está indo nada bem. Principalmente o caso Skyhook me deixou bem frustrado com o Google.
@Fabiano Antunes, eu conheço muita gente que usa, sempre que vai ao shopping ou aeroporto, cafés. Não se esqueça que o público-alvo do Android são usuários leigos…
Ae galerinha… atualização de versão é diferente de atualição de segurança.
Normal isso! O Android está tendo muita aceitação e quanto mais gente usa, mais erros são encontrados.
O iPhone mesmo tem uma pá de defeitos, a ponto da Apple fazer duas atualizações de OS em menos de um mês (apesar de ser automático, é uma coisinha chata de se fazer).
Isso só mostra que o sistema está sendo depurado. O Android é coisa nova, a primeira versão foi feita meio que as pressas, isso é normal. Faz parte do processo de maturação do software.
O que não pode acontecer é gente ficar falando: é por isso que eu prefiro o outro. Eu acho que tem sim que achar tudo quanto é tipo de erro no Android mesmo, por que isso só faz bem ao Android.
Não pode-se ver com maus olhos.
Bom, exste um problema de segurança, fato. Mas, para que isso aconteça há um fator no meio: tem que estar conectado em redes WIFI abertas. Isso não só é problema pro Android, como pra qualquer equipamento (de qualquer SO) conectado. Basta usar um bom sniffer de rede e lá se vão suas informações nas mãos de gente inescrupulosa…
Basicamente vale á máxima: Se você não pensa em sua segurança (usando WIFI aberto) o sistema operacional pouco poderá fazer por você, seja ele qual for.
Uma hora algo ruim irá ocorrer.
TeoPae,
Atualização de segurança é intimamente ligado com atualização de versão, basta observar os changelogs do Firefox, Flash Player, etc. Praticamente sempre a mudança de versão ocorre devido atualização de segurança.
Pros usuários do Android, só resta torcer pra essas falhas poderem ser corrigidas com atualização dos aplicativos Google que são baixados pelo Android Market. Mas se algum dia descobrirem brechas mais graves de segurança e que só é resolvido atualizando o Android em si, ae sim f**eu pra quem tem um smartphone sem suporte oficial ao último Gingerbread(incluise eu faço parte dessa categoria). Aliás eu não me surpreenderia em ver os fabricantes de smartphone usarem isso como estratégia de marketing pra forçar as pessoas a trocar de aparelho.
Alô pessoal que acha que pode roubar senhas feito uns loucos: HTTPS, alguém? Se o protocolo for encriptado, vai ser MUITO mais difícil.
@Tiago, então quer dizer que você concorda com a falácia do Windows? “Se é mais usado, tem mais buracos na segurança.”
25 anos de Microsoft e até hoje o sistema parece um beta sem fim, pois tem milhões de usuários “leigos” se ferrando todos os dias… Por favor… Usuários leigos que me perdoem, ou vocês se ligam no que está acontecendo no mundo da tecnologia para se protegerem o mínimo possível ou abandonem o mundo tecnológico de vez(difícil…). E isso serve para Android, IOS, Linux etc…
Parece que o guia aprendeu com o nosso ilustre Augusto…
Vejam a imagem usada lá…
http://www.hardware.com.br/noticias/2011-05/android-protect.html
Lá no guia também está ensinando de maneira até muito fácil como se proteger (), parece ser um bom jeito…
Tenho um aparelho com Android que foi lançado com a versão 1.6 e depois recebeu atualização para a versão 2.1. Essa falta de interesse dos fabricantes em oferecer atualizações é lamentável. Conversei com o fabricante e não estão mais previstas atualizações para o meu aparelho. No entanto, isso foi antes desta falha aparecer. Vamos ver se eles mudam de posicionamento agora. Desde o lançamento do Android fiquei com o pé atrás com relação as atualizações e problemas de compatibilidade. A minha aquisição está puramente relacionado a necessidade de trocar de aparelho o que me fez buscar um bom custo benefício, pois não queria gastar muito: http://miud.in/I2N
@Spif
Não foi isso que eu disse. Eu disse que quanto mais gente usa, mas erros são encontrados sim. E disse que o Android é um sistema ainda imaturo. Que isso é normal no processo de maturação do sistema. Nenhum sistema nasce perfeito.
E outra, a não ser que vc tenha 10 anos, provavelmente vc usa computador devido ao windows. Windows não é uma falácia. Não é porque ele é o lider de mercado e é fechado que ele é uma falácia. Tem problemas, tem, o linux também tem. Só para citar um problema: independente da sua opinião pessoal, a usabilidade do Linux é muito pior que do Windows e nem por isso o Linux é uma falácia.
Erros e problemas em software sempre existiram. E, se ninguém usar um software, nunca acharão os erros dele. Você mesmo, tão ligado em software livre, por acaso vc já debugou o kernel do linux para encontrar algum erro? Não né!!! Pois é, não é o fato do fonte ser aberto que vai garantir a solidez de um software. Agora, numa porrada de milhões de usuários, sendo que ai inclui-se os que querem apenas usar o sistema, outros, destruir o sistema, e outros, quebrar o sistema, erros vão ser encontrados sim! Faz parte do ciclo de desenvolvimento do software. Nem tudo dá para ser pego em testes.
Isso para mim é tão claro!!
O problema é com SSID “falsificado” (spoofed SSID?): um zé-da-rampa que coloca o SSID igual ao do aeroporto, por exemplo. Quando passar algum usuário com Android e WiFi ligado, ele vai tentar conectar. Aí é que mora o perigo.
Claro que com um roteador de sem-fio “escancarado” e uma máquina rodando o Wireshark entre o ponto de acesso e a internet dá no mesmo, mas geralmente não fazem isto (ou pelo menos não deveriam, pois é anti-ético). Se é ilegal não sei, pois a pessoa pode ter o serviço a disposição, desde que fique explícito (por parte do provedor) que as conexões estão sendo monitoradas.