Google libera correção para bug que permite roubo de dados pessoais no Android
Trechos do IDG Now:
Uma falha de segurança descoberta no Android, que permitia o roubo de dados pessoais em 99,7% dos celulares com a plataforma, foi corrigida em todos os aparelhos com sistema operacional do Google, de acordo com o porta-voz da empresa.
(…) Hoje (18/05), a companhia começou a disponibilizar para todas as versões do Android o pacote que corrige esse problema; o update é global e automático, e não precisa da atualização de software do usuário final. O Google espera que esse processo seja completado e atinja todos os dispositivos ao redor do mundo em até uma semana. (via idgnow.uol.com.br)
Reação rápida. Isso é bom. Não dá para reclamar de ser aplicada automáticamente, isso é análogo às atualizações automáticas das distros linux. Eu me pergunto quantas ocorreram ‘silenciosamente’.
Existe alguma página web descrevendo essas atualizações, como ocorre com as atualizações de segurança das distros linux ? Isso indicaria um nível de transparência bastante tranquilizador.
A fonte da notícia, que o IDG não citou claramente é:
http://blogs.computerworld.com/18308/google_android_security_flaw
Tem uns comentários interessantes:
Google Account passwords have never been sent in clear text. The fact that Contacts and Calendar didn’t use HTTPS just means that Google didn’t think this information was important. Facebook and Twitter made the same design decision with their apps. There was no ‘bug’ that needed ‘fixing’. Now that it’s news, Google has decided that it is important.
There is no client-side intervention required. Once the patch is rolled out to the servers, clients will automatically start using the new token methods. There is no download for the phone/tablet/other device as it’s a server side fix.
Até as operadoras brasileiras liberarem essa atualização para os usuários…
@samamba
Você esqueceu de ler que “não depende de atualização de software do usuário final”. É uma atualização somente no lado servidor.
http://www.uni-ulm.de/en/in/mi/staff/koenings/catching-authtokens.html
Tem um screenshot de uma TCP Session, mostrando o token do Google, pelo que me parece, a pessoa so ‘escutou’, capturou e esta vendo… esse ‘patch’ vai forçar todas as conn a usar SSL?
E assim caminha a humanidade. Estou com a Google sim, mas acredito que dependa muito mais de nossas atitudes… Minha mãe sempre me dizia: Presta atenção menino!!!
@Outro Marcos, Oooops. Passou batido. Obrigado pelo “lembrete”.
Nota mental: ler e reler antes de postar. :P
“There was no ‘bug’ that needed ‘fixing’. Now that it’s news, Google has decided that it is important.”
Deixar de usar HTTPS e usar HTTP para trafegar identificadores de sessão (basicamente os auth tokens são isso) que duram por quase 2 semanas é bug sim.
Bug (na cabeça) no arquiteto que projetou a solução desse jeito.
Se fossem tokes que durassem alguns minutos ai até vai.