Início » Antivírus e Segurança » Android tem brecha que pode afetar 99% dos aparelhos

Android tem brecha que pode afetar 99% dos aparelhos

Avatar Por

Tendo em vista que a Oktoberfest ainda está bem longe de acontecer, pesquisadores da universidade de Ulm, na Alemanha, foram vasculhar a forma como o Android lida com os dados dos usuários. A descoberta não é muito boa não, não: um processo identificado por eles poderia permitir que criminosos obtivessem acesso a diversas informações.

Correção para brecha no Android 2.3.4.

De acordo com o The Next Web, o problema se resume à forma como o Android utiliza o protocolo de autenticação do Google para puxar informações da nuvem sobre e-mails, contatos e calendários  (chamado de ClientLogin). Uma vez que o usuário coloca seu nome de usuário e senha, o sistema passa a enviar tokens em texto simples (o nosso querido clear text), o que torna o trabalho de interceptação muito mais fácil.

A abrangência dessa brecha de segurança é de 99% dos smartphones rodando Android. Isso porque ela existe em todas as versões do Android, desde a primeira delas até a versão 2.3.3. Criminosos poderiam conseguir dados dos usuários de até 14 dias atrás, desde que essa comunicação seja baseada em tokens clear text.

Para explorar totalmente o potencial da brecha, antes de tudo o aparelho deveria estar conectado a uma rede sem fio sem criptografia. Traçando um paralelo, o roubo de dados poderia ser feito de forma semelhante ao Firesheep, que detecta dados não protegidos trafegando em uma rede desprotegida.

O Google já sabe da ameaça, que foi alvo de um patch na atualização do Android para a versão 2.3.4, cuja data de lançamento ainda não foi informada. E como ficam os usuários de versões anteriores da plataforma móvel? Por enquanto, não ficam.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

DesajusTado
Quem quer roubar dados, rouba de qualquer aparelho ou sistema. Eu mesmo já consegui capturar dados de notebooks para testar falhas de segurança. Bobo é quem confia em qualquer conexão wi-fi e em qualquer OS. rsrs
Turdin
Hahaha, muito boa a piadinha dos alemães, será que só eu achei graça? =/
Lucio Antoniolo
Concordo em parte. Há poucos anos atrás comprávamos celulares travadões, sem direito a atualizações, que morreriam com o mesmo firmware e achávamos que éramos felizes... Por pior que seja o cenário atual, temos que considerar que é melhor do que o que tínhamos anos atrás. Ou não?
Ricardo
Quench......... Tenho esse maldito aparelho da Motorola(TIM). A pior compra que fiz na vida. O que tenho nele é CyanogemMod 7 (2.3.3) NÃO por conta da MotoROLA.
@alberson
Opa, ainda bem que o Defy já está na 2.3.4. Um abs.
Alexandre
pois entao, nas 2 vezes qe meu telefone se conectou, eu nao tinha guardado a rede, eu tava no carro. Mas realmente ta configurado tudo automatico, e tava tudo ligado.
Mário Araujo
Calma galera hehehehe É realmente um absurdo trafegar os dados em texto puro, não têm desculpa para isso. O que eu quis frisar foi: - mesmo que seu Android não tenha atualização, você têm como usar apps para se proteger disso - mesmo com os arquivos criptografados, existem (muitos) riscos em se navegar em rede WiFi pública, principalmente logar em sites. Mas como sempre, no final vira uma discussão Apple x Google. Tá cada dia mais difícil trocar opiniões nessa Internet...
Mário Araujo
Calma galera heheheh Realmente é um absurdo as informações trafegarem em texto puro, não tem desculpa pra isso. O que quis frisar são duas coisas: - mesmo sem atualizar o android, você tem como fugir disso usando apps - mesmo que fosse criptografado, existem(muitos) riscos de se navegar em rede WiFi pública, principalmente usando login/senha enquanto conectado nessa rede. Sem extremos para nenhum lado, só acho que a matéria(na maioria dos sites, não só o tecnoblog)ficou um pouco sensacionalista, como se o android tivesse uma falha incorrígivel e todo mundo que usa tá ferrado.
@franksilvestre
A questão não é essa, caro xiita googledroid. A questão é que as senhas, no sistema da google estão em texto puro!!! TEXTO PURO!!!! Entendeu agora cumpadi? É igual ao erro estapafúrdio da Çony (sony). É inadimissível uma coisa dessa, passar as senhas em plain text. É um erro infantil de segurança da querida google, e de seu amado sisteminha chamado android.
@franksilvestre
Essa porcaria de android. Superoverhipado essa droga de sisteminha de merda. Eu tenho a versão 2.1 desse lixo atômico, e ae como fico? Não compro mais nenhum "celular" com android.
Rardgi
Péssimo isso. Estão parecendo aqueles pasquins "xexelentos" que não tem o que noticiar... Se for pesquisar a fundo mesmo, affe, nada escapa a fúria de hacker e nada, NADA é 100% seguro. Quem navega em redes abertas, redes que nem se sabe o dono, tem mais é que se f#$%* mesmo!
Marcoscs
se o aparelho detectar a rede e voce optar por "lembrar" ele vai entrar automaticamente nela na próxima vez que detectá-la, isso aconteceu com meu aparelho (android 2.2)quando eu testei ele na rede do vizinho :)
Mário Araujo
Sim, é uma falha e é grave, agora pera lá. Desde QUANDO é seguro ficar navegando em rede WiFi aberta? Você acha que é 100% seguro conectar com seu IPhone em uma rede WiFi pública? E outra, tem apps que você pode usar para não correr esse risco se você não usa 2.3.4 As matérias de tecnologia estão cada dia mais sensacionalistas.
Breno Caldeira
Seu iOS está desatualizado e vc falando de fragmentação do Android?! 0o
Breno Caldeira
Todos, vírgula. Eu iria parafrasear horrores, mas uma imagem vale mais do que mil palavras :D http://monimag.eu/upload/731/captura_de_tela.png
Breno Caldeira
Não sabia que Android conecta automaticamente com Wifi desconhecido, não conheço nenhum celular que faça isto. :D
Breno Caldeira
Alto lá, 2.3.4 ainda nem em beta chegou, está em Nightly Builds, o que não é recomendável para uso dia-a-dia, pelo excesso de bugs :D E não são todos aparelhos que tem CM7
@antony
"hackear"? lol Tem hacker demais nesse mundo atualizando o firmware do celular...
@antony
100 por cento blackberry! 100 apps 100 personalização 100 jogos 100 nada!
@antony
Aproveita e compra o KY, a purpurina e o cuecão de couro
Matheus Oliveira
Não entendo gente que reclama do Flash nativo. Meu GT540 não tem e eu não sinto falta...
Fabio
"demoram para lança-lá" ????? Elas não lançam NUNCA. Ahh sonho meu de meu Quench ter tido alguma atualização oficial da motoROLA.
Jairo
Que tal "destruir" um sistema simplesmente acessando um determinado site ? lembra do Jailbreak no qual bastava o sujeito acessar um determinado site ? quer falha mais grotesca que essa ?
@brunogdb
2 dias depois... FUI AFETADO, NÃO, NÃO, ISSO NÃO É POSSÍVEL!
Jairo
Já tem gente "babando" o cromiuummm dizendo que é o must... o net-cromium... e tão achando que vão ficar SUPER SEGUROS quardando seus dados nas nuvens...
Caio Furtado
Faço parte dos 1% abs.
Fabio
Esta falha foi corrigida justamente no Android 2.3.4, o grande problema é que as operadoras demoram para lança-lá, e por este motivo o gigante das busca decidiu trabalhar de perto com as operadoras do Android para acelerar o lançamento das atualizações.
@brunogdb
Eu ia comprar um Android e foi só eu perder essa vontade e ter meu iPhone que os ataques começaram no Android. Pode ter Linux em seus núcleos, mas sempre tem falhas, infelizmente :(.
Tiago M. Torres
Sony fazendo escola.
@jvbraganca
compre um iphone e resolva seu problema! :)
Denis
É a Google ainda quer emplacar o Chrome OS dizendo que seus dados vão ficar seguro....
guilherme.augusto
Também estou com a 2.3.4 com a ROM CyanogenMod no meu Miles... Quem tiver a oportunidade de instalar ela é ótima...
Guilherme Mac
"Android me parece ser o mais vulnerável, por ser um sistema com código aberto". Isso não tem a ver. Falhas acontecem tanto em sistemas fechados qto em abertos. A vantagem de aberto é que o número de desenvolvedores pode achar e corrigir mais rapidamente. Achar a falha é importante, muito mais do que "segurança por obscuridade".
Tiago C. Araujo
HEhehehehe, não adianta, a cada dia que passa os hackers miram mais e mais em sistemas portáteis... e nesse ponto, o Android me parece ser o mais vulnerável, por ser um sistema com código aberto... acho que ainda aparecerão outras falhas, é questão de tempo... Ja a APPLE é uma empresa fechada ao extremo, que guarda bem o código de seu sistema mas nem por isso é o mais seguro, tambem possui falhas e não tem suporte nativo a código Flash, dentre outros problemas... como por exemplo a falta de recal nos iPhones 4 com problema na antena, que foi "resolvido" com uma capa ridícula. É por essas e outras que eu sou 100% Blackberry, sistema seguro, aplicativos realmente úteis e excelente hardware.
Guilherme Mac
http://tecnoblog.net/comentario/1265954/
@AntonioVeras
Não é o caso do nosso amigo aí de cima.
Lucas Braga
A 2.3.4 é aquela versão que incluiu videocall.. Já existia. Mas já estou com ela em meu HTC Magic, via Ginger Yoshi. :D
Braz
KKKKKKKKKKKKKKKKKK Mas você é livre![2]
Eduardo
Já está rolando a versão 2.3.4 CM7 para o Dext da Motorola. Além de resolver essa questão citada na matéria ainda torna o aparelho incrivelmente mais rápido e com um consumo de bateria muito, mas muito melhor que em todas as outras versões que rolaram para ele, incluindo a 1.5 original da Motorola, 2.1 e 2.2.
Marcoscs
ué, é opção sim, voce opta se seu cel vai sempre buscar redes ou vai ficar com o wi fi desligado e se buscar também opta se ele vai entrar na rede automaticamente ou se vai só te avisar da existência dela...
@AntonioVeras
O meu 5530 sempre pergunta. Só não quando já é uma conexão conhecida.
Gabriel Fernandes
Minha rede wireless residencial é criptografada, raramente entro no 3G. Minha versão é 2.2.1
Gabriel Fernandes
Motorola Xoom esta livre deste problema!!!
Alexandre
Talvez entrar em rede aberta nao seja uma opcao. Exemplo: Voce esta passeando de carro e passa na frente de um lugar com rede aberta. O celular q esta quietinho no canto dele, se conecta automaticamente sem q vc saiba. Claro que o wifi tem q estar ligado. Eu nunca desligo, o que costumo desligar é a sincronizacao, o que ajuda. Se eu soubesse dessa brecha , talvez sairia de casa sempre com o acesso desligado...mas isso meio noia tambem né? Aconteceu algumas vezes de eu estar andando de carro e de repente ouço o barulho de notificacao de mail ou tweet...
Jairo
@João.. aconselho esperar sentado...
Jairo
@João Exato, quando falei aqui da fragmentação do Droid alguns sujeitos tentavam defender o robo dizendo que a versão que vem de fábrica é mais que suficiente para o consumidor... mal sabia ele o futuro iria "dizer" para ele.. = SEU APARELHO TEM UMA FALHA DE SEGURANÇA CRITICA ! e vc não vai ter atualização ! E salve-se que puder nessas ROM´s piratas da vida.. sabe-se quais falhas essas ROM´s piratonas devem ter tambem ! ACORDA GALERA parem de bater palma antes da hora...
Alexandre
Putz robozinho, que vacilo. PS: A versao 2.3.4 jah ta no OTA! (soh pros Nexus)
Jairo
@Tio Z O pior de tudo é ver gente dando Ibope para estas bostas !
Enivelton Tigre
Essa é velha já, macfags precisam ter mais criatividade nos ataques.
João Pedro C. Motta
Token de autenticação não tem o seu login e senha, mas tem o acesso a sua conta. Normalmente eles tem uma validade pré-definida.
João Pedro C. Motta
Ter tem, mas a atualização é disponível para todos baixarem.
Guilherme Mac
Isso seria uma ironia? Pq falhas graves existem em qualquer sistema. Dizer o contrário é fechar os olhos para o perigo.
Vinicius Kinas
Ah tá, pq o iOS nunca teve nenhuma brecha de segurança, EVER. uahuauhua
Vinicius Kinas
Sério que o Google envia token de autenticação com usuário e senha descriptografados?!? SÉRIO MESMO?!? Caramba, isso é básico. PSN Feelings =S
Enivelton Tigre
Tinha que ter um macfag pra falar isso, o IOS é perfeito né?
Arimatheia
Mas você é livre!
Allen
Tenso é apelido...triste demais se for verdade...
Marcoscs
ha, na boa... Quem entra com dados confidenciais em redes abertas tem mais é que se #$%*$!!! mesmo... Aí entramos naquela velha discussão de que o nível de sofisticação e segurança de um software só vai até o ponto em que começa a agir o usuário ignorante/relapso. Não tem jeito, vai ser eternamente uma corrida do cachorro tentando pegar o próprio rabo.
Guilherme macedo
Falou tudo...
bmFbr
Flame war Android x iOS em 3, 2, 1...
@nerdmor
Valia um band-aid na imagem hein? Quem pode hackear, eu sugiro ir pro Cyanogenmod 7, que já está usando a versão 2.3.4
João Pedro C. Motta
O pior é saber que os usuários de versões antigas não podem fazer nada.. E depois tem gente que fala que atualizações não são importantes..
Tio Z
Que novidade...empresas correndo que nem loucas querendo mercado e mais e mais dinheiro, fodendo sempre o idiota que paga. É iOS com triangulação salva no aparelho sem criptografia para facilitar para eles mesmos, Android mandando informações aos 4 ventos sem proteção nenhuma... Depois se surpreendem quando alguem invade ou rouba dados em massa, né dona Sony? Te falar, mercado de tecnologia está cada vez mais porco...
Gustavo Sartori
Olha que coisa boa de se ler ¬¬ Acredito que em breve nós, usuários esquecidos de versões anteriores, seremos contemplados com esse magnífico patch. -NOT
Julio
o Meu MM está com a V2.3.4, so...
Jairo
Olha que maravilha ! Sofredores do Droid.. meus pesames...
Guilherme macedo
Eita... Vacilo da Google nisso...