Proponha uma correção, faça uma sugestão
Gestores de passwords no Android estão sujeitos a problemas
As ferramentas que ajudam os utilizadores a memorizar passwords e outros dados são uma ajuda essencial para todos os que precisam de lidar com estes dados de forma constante.
Os gestores de passwords existem para todos os sistemas operativos, mas no Android existe um problema que pode colocar em causa a sua utilização, por ser muito simples a qualquer aplicação aceder aos dados que guardam.
Este problema de segurança no Android com os gestores de passwords não é novo, mas agora surgiu uma forma simples de o explorar e inclusive existe uma aplicação na Play Store que o demonstra de forma perfeita e completa.
A falha de segurança, se assim pode ser definida, está no facto da maioria destes gestores usarem o clipboard do Android para transferirem informação entre o próprio gestor e as aplicações onde vão ser usadas.
A aplicação em causa, o ClipCaster, consegue aceder aos dados que são usados no processo de preenchimento automático do LastPass e do KeePassDroid.
O seu criador alerta que apenas usou estas duas aplicações para testes por serem as que usa por norma e que provavelmente outras vão estar expostas ao mesmo problema.
Ao usar o clipboard par uma função tão crítica, os gestores de passwords deixam os seus dados expostos a qualquer aplicação sem permissões, uma vez que esta função de transferência de dados temporária é aberta a todas.
A maioria dos gestores de aplicações usa algum tipo de cifra ao colocar esses dados no clipboard, mas facilmente se consegue contornar essa cifra e acede aos dados.
O problema não existe em aplicações que usam versões próprias do browser, teclados virtuais ou extensões próprias estão imunes a este problema.
Testes revelaram que outros sistemas operativos estão imunes ao problema, não se manifestando no iOS ou no Windows Phone, por exemplo.
O problema de não está totalmente nas aplicações que gerem as passwords mas também na forma como o sistema operativo gere o acesso ao clipboard, mas a verdade é que as actuais permissões deixam que qualquer aplicação possa ler o conteúdo do clipboard.
A forma de explorar esta vulnerabilidade requer uma aplicação específica, desenhada para ler o cliboard e identificar passwords, mas não precisa de ser uma aplicação talhada para este fim. Pode ser mascarada de qualquer outra função e facilmente enviar os dados para um ponto central, onde depois podem ser explorados.
Esta é mais uma vulnerabilidade do Android, fruto da forma como foi desenhado e com as permissões que dá às aplicações. Dificilmente poderá ser alterado, sendo mais simples aos criadores das aplicações criarem alternativas mais seguras para a colocação de dados nos browsers.
Este artigo tem mais de um ano
Loading ...
Será que é só no Android? Eu uso 1Password para iPhone, será que o mesmo problema não chegará ao iOS?
O que é imune agora, poderá não vir a ser daqui a uns tempos penso eu.
Se estão a dizer isto é porque testaram em ambos.
Achares que no outro também vai acontecer, é precipitado. Desde que não faças jailbreaks no iPhone, estás seguro.
Pessoalmente não vejo vantagem em usar jailbreak porque não iria precisar de quase nada do que se tem por lá.
Eu tambem nao queria fazer jailbreak, mas nao conheco nenhum servico para visualizar filmes, mesmo a pagar (um preco aceitavel) como o popcorn e outros…
Até me admira…
Porque é que não falam de problemas no Lollipop?
Desde que o update faz “brikar” o aparelho: http://www.zdnet.com/android-lollipop-users-warn-of-unusable-devices-after-upgrading-7000035977/
Até problemas de performance: https://productforums.google.com/forum/#!msg/nexus/to2BHjmhh-I/a1p7dY6ws0IJ
Ou é só iOS que interessa se não trabalha bem e se sai um update “mau” que foi corrigido em apenas umas horas em casa…
+1
Xprivacy and i will be fine 😀
Apenas as apps onde preciso do clipboard estão libertadas. Claro que não estou 100% seguro mas.. é isto ou nada.
Mas.. “problema” só existe no Android? Hum… será mesmo assim?
Aproveitando a questão do clipboard, qual o melhor programa de sincronização do clipboard que conhecem, entre windows, chrome, mac, android e ios?
foram descobertas falhas nos gestores de passwords em TODAS as plataformas! não é só no Android, mais uma vez informação tendenciosa de iFans!…
Em resumo: os gerenciadores de senha, que são seguros, são os nativos do Firefox, Chrome e outros navegadores.