As ferramentas que ajudam os utilizadores a memorizar passwords e outros dados são uma ajuda essencial para todos os que precisam de lidar com estes dados de forma constante.
Os gestores de passwords existem para todos os sistemas operativos, mas no Android existe um problema que pode colocar em causa a sua utilização, por ser muito simples a qualquer aplicação aceder aos dados que guardam.
Este problema de segurança no Android com os gestores de passwords não é novo, mas agora surgiu uma forma simples de o explorar e inclusive existe uma aplicação na Play Store que o demonstra de forma perfeita e completa.
A falha de segurança, se assim pode ser definida, está no facto da maioria destes gestores usarem o clipboard do Android para transferirem informação entre o próprio gestor e as aplicações onde vão ser usadas.
A aplicação em causa, o ClipCaster, consegue aceder aos dados que são usados no processo de preenchimento automático do LastPass e do KeePassDroid.
O seu criador alerta que apenas usou estas duas aplicações para testes por serem as que usa por norma e que provavelmente outras vão estar expostas ao mesmo problema.
Ao usar o clipboard par uma função tão crítica, os gestores de passwords deixam os seus dados expostos a qualquer aplicação sem permissões, uma vez que esta função de transferência de dados temporária é aberta a todas.
A maioria dos gestores de aplicações usa algum tipo de cifra ao colocar esses dados no clipboard, mas facilmente se consegue contornar essa cifra e acede aos dados.
O problema não existe em aplicações que usam versões próprias do browser, teclados virtuais ou extensões próprias estão imunes a este problema.
Testes revelaram que outros sistemas operativos estão imunes ao problema, não se manifestando no iOS ou no Windows Phone, por exemplo.
O problema de não está totalmente nas aplicações que gerem as passwords mas também na forma como o sistema operativo gere o acesso ao clipboard, mas a verdade é que as actuais permissões deixam que qualquer aplicação possa ler o conteúdo do clipboard.
A forma de explorar esta vulnerabilidade requer uma aplicação específica, desenhada para ler o cliboard e identificar passwords, mas não precisa de ser uma aplicação talhada para este fim. Pode ser mascarada de qualquer outra função e facilmente enviar os dados para um ponto central, onde depois podem ser explorados.
Esta é mais uma vulnerabilidade do Android, fruto da forma como foi desenhado e com as permissões que dá às aplicações. Dificilmente poderá ser alterado, sendo mais simples aos criadores das aplicações criarem alternativas mais seguras para a colocação de dados nos browsers.