Segundo alguns investigadores, a grande maioria de dispositivos que correm o sistema operativo mobile da Google, o Android, apresentam grandes vulnerabilidades que permitem a utilizadores mal intencionados roubar as credenciais que dão acesso a vários serviços como por exemplo ao calendário, contactos e outra informação sensível mantida nos servidores da Google.
O ponto frágil no sistema está na implementação do protocolo de autenticação. O ClientLogin utilizado no Android 2.3.3 e anteriores, permite que depois de submetidas as credenciais para serviços como Google Calendar, Twitter, Facebook, ou outras contas de muitos outros serviços a interface desses serviços devolve um token que é enviado em texto simples.
Esse segmento de texto, authToken, pode ser utilizado até 14 dias a requisito do serviço e com base nessa informação os atacantes podem facilmente explorar essa informação de modo a conseguir entrar nos serviços sem autorização. Esta vulnerabilidade foi testada e publicada por investigadores da Universidade Alemã de Ulm.
Dan Wallach, professor da Universidade de Rice, descobriu em Fevereiro passado algumas deficiências de privacidade no Android, durante um exercício simples para a turma que leccionava métodos de segurança. Segundo o mesmo, os ataques só podem ser realizadas quando os dispositivos estão a usar redes não seguras, como muitas que são oferecidas nos hotspots Wi-Fi gratuitos.
He found that some Android applications transmit data in the clear, allowing an attacker to eavesdrop any transmitted information. Besides third-party apps, such as Twitter or Facebook, also the Google Calendar app transmitted unencrypted information. Wallach stated that “an eavesdropper can definitely see your calendar transactions and can likely impersonate you to Google Calendar”, referiu Dan Wallach .
A Google corrigiu esta falha de segurança no início deste mês com o lançamento do Android 2.3.4, embora essa versão e, possivelmente, o Android 3.0, ainda permitam que os dispositivos sincronizem com o serviço Picasa Web Albums através de canais não cifrados, segundo afirmaram também os investigadores. Com base nas estatísticas do próprio Google, isso significa mais de 99 por cento dos dispositivos com Android são vulneráveis a este tipo de ataques, que são similares, em dificuldade e efeito, aos chamados exploits sidejacking que roubam cookies de autenticação.
Segundo um porta-voz da Google, estes problemas estão referenciados e a Google está já a trabalhar na sua resolução.
Estes problemas são conhecidos dos atacantes que podem estar a usar estas fraquezas para atacar os utilizadores que usam essas redes Wi-Fi sob domínio dos atacantes. Eles disponibilizam gratuitamente o acesso à Internet através das suas redes para obter dados confidenciais, segundo os investigadores Bastian Könings, Jens Nickels, e Florian Schaub.
“To collect such authTokens on a large scale an adversary could setup a wifi access point with a common SSID (evil twin) of an unencrypted wireless network, e.g., T-Mobile, attwifi, starbucks,” they wrote. “With default settings, Android phones automatically connect to a previously known network and many apps will attempt syncing immediately. While syncing would fail (unless the adversary forwards the requests), the adversary would capture authTokens for each service that attempted syncing.”
Aplicações que recorram ao protocolo ClientLogin devem imediatamente estar a comunicar sobre canais seguros recorrendo por exemplo ao protocolo HTTPS. Também deveria ser utilizado um protocolo de autenticação mais robusto, o oAuth, que iria também sanar a vulnerabilidade na utilização actual do authToken… seja como for estas trocas de informação deveria sempre ser feita usando HTTPS prevenindo a intercepção dos dados.
Os investigadores sugerem à Google que diminua o tempo de espera (timeout) para os authTokens, de forma a validar ou rejeitar os pedidos proveniente do ClientLogin, que chegam via HTTP.
Com mais de 99 por cento das operadoras a oferecer aos seus clientes uma versão Android com estas falhas graves de segurança, o relatório demonstra o tremendo insucesso que a Google obteve ao obter dos seus parceiros a actualização para a nova versão, com esta falha já corrigida. Este comportamento levanta sérios problemas de segurança tendo em conta a quantidade de equipamentos, muitos deles já no limite dos recursos com a versão Android instalada e com os muitos operadores que são lentos a disponibilizar aos seus clientes novas versões do Android. Muitos deles irão ficar para sempre presos na versão 2.2.2, por exemplo, mesmo com graves problemas de segurança já conhecidos há meses. theregister