Um problema de segurança no Android tem sido bastante discutido por esses dias: o vazamento de informações importantes que podem ser obtidas em redes Wi-Fi abertas. Como a falha está presente até o Android 2.3.3, ela afeta praticamente todos os usuários.
As pesquisas feitas na University of Ulm na Alemanha concluiram que é fácil obter os tokens de autenticação de serviços no Android, uma vez que são transmitidos em texto puro. O problema está no protocolo ClientLogin, que autentica a conta com os servidores apenas uma vez e guarda um token válido por 14 dias, liberando acesso aos serviços depois por meio dele. As informações desse authToken podem ser capturadas em redes Wi-Fi abertas maliciosas e o resto dá para imaginar. Dados das apps que usam o sistema de autenticação (Twitter, Facebook, etc) podem ser obtidos por terceiros na rede, e depois usados para os mais diversos fins.
O problema com a fragmentação das verões do Android é grave, já que muita gente vai continuar usando versões desatualizadas por um bom tempo - ainda mais quando as atualizações finais dependem das operadoras.
Esse problema só foi corrigido no Android 2.3.4. As principais recomendações são atualizar assim que possível para o 2.3.4 (virtualmente impossível para a maioria dos usuários comuns), desativar a sincronização automática ao usar redes sem fio públicas e, principalmente, evitar essas redes abertas. Para desenvolvedores de apps o melhor é sempre usar as conexões seguras (HTTPS) e talvez trocar o authToken pelo oAuth.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário