Autenticação por um clique no Android apresenta risco de segurança
(Fonte da imagem: Reprodução/Talk Android)
A autenticação por um clique do Android é encarada como uma das grandes comodidades do sistema operacional móvel, por permitir que um único login garanta o acesso a todos os serviços do Google de uma só vez. Nas mãos de um hacker mal intencionado, porém, essa mesma facilidade pode se tornar um risco gravíssimo de segurança.
O pesquisador de segurança Craig Young, da empresa Tripwire, estudou o sistema e criou uma rotina na qual um aplicativo poderia facilmente roubar o token criado para login e utilizá-lo para acessar todos os serviços do Google utilizados por um usuário – inclusive contas corporativas do serviço Apps, ganhando acesso a possíveis informações confidenciais e empresariais.
A descoberta foi aplicada de forma relativamente simples, para quem entende. Young criou um aplicativo para visualização de ações na bolsa de valores com integração ao Google Finance. O software era o “ladrão de tokens” e dava acesso a todos os outros serviços da empresa. Para piorar as coisas, o programa foi colocado na Play Store pelo especialista e lá permaneceu por meses, sem ser retirado do ar pela dona do Android.
Young afirma ter informado o Google sobre a falha em fevereiro, meses antes de apresenta-la durante o Def Com, um congresso de segurança da informação realizado na semana passada. Segundo ele, apenas algumas partes do problema foram solucionadas, mas o roubo de informações de acesso continua existindo a partir de serviços como o Gmail ou Drive, por exemplo.
Informações bancárias em risco
(Fonte da imagem: iStock)
A falha na segurança já está sendo utilizada por pelo menos um grupo de hackers, que escondeu um Cavalo de Troia em uma atualização falsa do aplicativo oficial do NH Nonghyup Bank. Uma das maiores instituições financeiras da Coreia do Sul acabou sendo a primeira grande empresa vítima da falha, com os dados de seus clientes sendo enviados a um servidor privado.
A brecha, porém, foi identificada pelos softwares de detecção automática de softwares maliciosos. O Google informa que faz o possível para que programas deste tipo não estejam disponíveis na Play Store e instrui os usuários de Android a nunca baixarem aplicativos fora dos meios oficiais.
Por enquanto, porém, a empresa não respondeu oficialmente aos problemas apontados por Young.
Fontes
Categorias