Início » Antivírus e Segurança » Google vai bloquear uma forma de login em apps para evitar ataques

Google vai bloquear uma forma de login em apps para evitar ataques

Não será possível fazer login a partir de navegadores integrados

Paulo Higa Por

Fazer login em sua conta do Google por meio de um aplicativo no celular poderá ficar menos prático, mas é por uma boa causa. O Google anunciou na quinta-feira (18) que, a partir de junho, bloqueará tentativas de login que sejam feitas através de navegadores integrados para evitar um tipo de ataque conhecido como man-in-the-middle (MITM).

Google / Login

A empresa já havia implementado diversas restrições de segurança em sua página de login. Por exemplo, desde o ano passado, é obrigatório ter o JavaScript ativado no navegador para preencher usuário e senha: isso permite que o Google execute um script de avaliação de risco para verificar se o acesso é legítimo ou uma tentativa de roubar informações.

Agora, o Google vai bloquear o acesso em navegadores integrados. Como assim? Em certos aplicativos, você pode entrar em páginas de outros sites sem precisar abrir o Chrome ou outro navegador — é o caso do Facebook e do Twitter, por exemplo. Com isso, você fica mais feliz (o carregamento é mais rápido) e o desenvolvedor também (afinal, você passa mais tempo no aplicativo dele).

Mas, quando a página é um formulário de login, isso abre uma potencial brecha de segurança: um aplicativo malicioso pode interceptar a comunicação entre você e o Google em tempo real, obtendo dados como nome de usuário, login e até código de autenticação de dois fatores. Trata-se de um ataque man-in-the-middle (MITM).

O Google explica que “como não conseguimos diferenciar um login legítimo de um ataque MITM nessas plataformas, vamos bloquear logins em frameworks de navegadores integrados a partir de frameworks de navegadores integrados a partir de junho”.

Para os desenvolvedores, a solução é migrar para a autenticação baseada em OAuth, que permite que os usuários vejam o endereço completo da página que estão tentando fazer login.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Henrique Picanço

Bem, isso parece estranho, já que hoje mesmo eu loguei num app de gerenciamento de senhas que abriu uma janela própria para logar no meu Google Drive. Devem ser funcionamentos diferentes, então. Mas essa API e, de fato, mais interessante.

Mateus B. Cassiano

A notícia se refere especificamente a apps de celular, e a mesma API de login também está disponível nos dispositivos Apple através do SDK do Google para iOS. PWAs e programas de PC já usam OAuth2 para login até porque é o único método suportado oficialmente nessas plataformas...

Henrique Picanço

Funcionaria bem em celulares com Android, mas como ficariam logins de programas de PC e login em apps pelo iPhone?

Mateus B. Cassiano
Para os desenvolvedores, a solução é migrar para a autenticação baseada em OAuth

Ou utilizar a API do Google Play Services, que permite logar na conta do Google salva no aparelho sem precisar abrir o navegador...