Usar um app de gerenciamento de senhas no Android é uma boa ideia para quem usa códigos demais, tem dificuldade em recordar todas as sequências ou simplesmente quer acelerar o processo de login. O problema é que isso é bem menos seguro do que se pensa — na verdade, não faltam métodos bem simples para quebrar essas ferramentas e ter acesso a todos os dados de uma pessoa.
Segundo o Arstechnica, serviços famosos como o KeePassDroid e o LastPass, além de outros menos renomados, são fracos demais em segurança. Um app mal-intencionado, por exemplo, é capaz de acessar todo o código guardado pela ferramenta e obter acesso às senhas armazenadas. E não estamos falando de um malware, mas sim de um software "legal" que pode ser usado para más ações.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Como prova disso, um programador criou um experimento chamado ClipCaster, que, se rodado em um Android com os tais gerenciadores funcionando, é capaz de quebrá-los é disponibilizar as senhas armazenadas. Esse exemplo é uma boa notícia, já que o desenvolvedor não vai usá-lo em um malware. Porém, ele poderia: instalar um vírus que peça acesso às senhas e envie esses dados para outro dispositivo é uma possibilidade.
De quem é a culpa?
O problema está no sistema operacional móvel e no funcionamento dos gerenciadores, que usam como base de texto as próprias planilhas de notas do Android — que não têm qualquer esquema de segurança e disponibilizam o conteúdo para qualquer outro serviço, se assim for requisitado. Elas atuam como um cache temporário para todo o texto que é copiado e colado, seja no mesmo app ou entre vários. Se o recurso "Autocompletar" estiver habilitado nas senhas, fica fácil realizar a interceptação.
Os apps que usam navegadores próprios, extensões ou teclados virtuais para cadastrar as senhas não apresentaram vulnerabilidades até agora. Além disso, iOS e Windows Phone parecem livres dessa ameaça.
O responsável pelo Clip Caster está disposto a avisar os responsáveis pelos apps enfraquecidos — mas eles escutarem, admitirem o problema e sanarem a brecha é outra história. O CEO do LastPass fez o teste e confirmou a falha, o que deve significar a correção, mas será que os outros apps também farão o mesmo?
Fontes