Facebook para Android pode ser vulnerável a ataques simples

Paulo Graveheart
Por

Donos de celulares ou tablets com Android que usam o aplicativo do Facebook correm um sério perigo: segundo estudos, o aplicativo não envia nem recebe dados de forma criptografada. Portanto, é vulnerável a ataques dos tipos mais simples, daqueles que qualquer criança pode realizar.

O teste foi feito pelo professor Dan Wallach e seus alunos da Rice University, que usaram programas como o Wireshark, simples e disponível sob licença livre, para capturar pacotes de em uma rede em que o aparelho com o Android estava conectado. Os resultados surpreenderam: em termos de segurança, o aplicativo do Facebook é tão ou mais inseguro quanto o Windows 95. Sem antivírus instalado.

Se você procurar com calma, encontrará aquela mensagem privada que você mandou nessa tela

Basicamente, uma quantidade preocupante de dados trafega sem qualquer segurança ou encriptação, e pode ser visto facilmente a partir de um programa sniffer como o WireShark ou similares.

E não para por aí. Como não há autenticação do tipo OAuth ou até mesmo um método para assegurar a veracidade da informação que está sendo enviada para o Facebook, um hacker poderia muito bem usar algumas das informações capturadas e a partir daí postar mensagens falsas em sua conta.

Mas calma que o bolo tem uma cerejinha no topo: em um dado momento, os estudantes descobriram um pequeno comando SQL em meio aos dados capturados. E, embora eles não tenham ido tão a fundo nas pesquisas, essa informação mostra que talvez o aplicativo até mesmo torne parte do Facebook vulnerável a ataques do tipo SQL Injection.

É bem provável que o Facebook lance uma atualização em breve que resolva todos esses problemas, mas até lá, evite de todas as formas acessar o Facebook pelo aplicativo oficial a partir de redes Wifi desconhecidas ou pouco seguras (provavelmente, isso também inclui  a rede do seu trabalho…), e se possível, acesse a partir do navegador, através da url criptografada https://www.facebook.com (repare o “s” no final do “http:”).

Com informações: Download Squad.

Relacionados

Relacionados