SÃO PAULO – Pesquisadores da Ulm University Institute of Media Informatics, na Alemanha, descobriram uma nova falha no Android que permite aos crackers explorar o authToken dos usuários quando estes estiverem conectados a uma rede Wi-Fi não-segura.
Os authToken são usados para fazer login em sites como Facebook, Twitter e aplicações do Google, como o calendário e contatos. A brecha de segurança encontrada pelos pesquisadores se localiza dentro da autenticação do login cliente (ClientLogin) utilizado pelos serviços do Google para acessar as APIs.

Desta forma, a vulnerabilidade afeta qualquer smartphone com sistema Android e que não tenha feito a atualização para aversão Gingerbread 2.3.4. Os pesquisadores não souberam pontuar se o mesmo ocorre no sistema para tablets Honeycomb 3.0.
Considerando que a grande maioria dos aparelhos Android ainda não foram nem atualizados para o Gingerbread 2.3, os pesquisadores puderam afirmar que cerca de 99% dos usuários estariam vulneráveis a ataques.
De acordo com os pesquisadores, eles pretendiam checar se era possível criar um ataque personificado contra os serviços do Google e descobriram que além de possível, o caminho era bastante simples.
Os tokens utilizados pelo ClientLogin ficam armazenados por duas semanas e essa brecha de segurança permite que crackers invadam o smartphone e acessem os tokens mesmo se não houver transferências de informação e sem estar utilizando uma conexão de rede não-segura.
Segundo os pesquisadores, este tipo de ataque é similar ao conhecido “Sidejacking”, que rouba os cookies das sessões dos websites e era o mesmo identificado nos ataques que ocorreram no plugin Firesheep, que expunha os dados pessoais dos usuários do Firefox.
Para não cair em golpes, os pesquisadores sugerem que os usuários evitem utilizar redes abertas e para desativar a sincronização automática dos aplicativos. Quando aplicações utilizam a sincronização automática do authToken em uma rede aberta, eles permitem que o usuário fique vulnerável para qualquer pessoa.
Para os desenvolvedores, os pesquisadores sugerem que utilizem sempre conexões seguras HTTPS e usem autenticações Auth em vez de authToken e que diminuam o tempo que esses logs ficam armazenados no aparelho.

0 comentários:

Apresentação!


Aproveite nosso conteúdo e informação. Possuímos um grande arsenal de vídeo-aulas administradas pelo nosso companheiro de equipe Danyel Willian, Assistente de TI, Bacharel em Sistema de Informação e certificação em ITIL FOUNDATION; e postagens para melhor prepará-lo para concursos que relacionem à área de TI.

Espero que gostem de nossas postagens e videoaulas, e que possam com nossas informações adquirir um grande desenvolvimento social e tecnológico nesta área tão requisitada atualmente no mercado de trabalho.

A Equipe Informática Inteligente agradece a preferência!


Tradutor

English French German Spain Italian Dutch
Russian Portuguese Japanese Korean Arabic Chinese Simplified
By Equipe Informática

Equipe Informática Inteligente

Proprietário e ADM Principal

Danyel Willian

Autora - Assessora de Comunicação Digital

Júlia Medici


Autor - Técnico e Professor em TI. Formação em Administração de Empresas

Felipe Aguiar

Autor - Engenheiro da Computação

Julius Cardoso


Outros Administradores

Danilo Alves

Flávio Santos





Mural de Recados

Seguidores

Arquivo do blog

Parceiros/Concursos

Parceiros Aleatórios