O Google desenvolveu uma correção para a vulnerabilidade no protocolo de autenticação ClientLogin que atinge 99,7% dos smartphones Android.

A atualização veio em resposta ao aviso publicado no começo do mês por pesquisadores da Universidade de Ulm na Alemanha, que alertava que os dispositivos com a plataforma poderiam ser explorados por um ataque do tipo sidejacked. Assim, como as sessões de cookies dos sites podem ser roubadas (sidejacked), os invasores podem se passar pelo usuário, e receber dados que são trocados pelos smartphones Android e que estejam conectados a uma rede Wi-Fi insegura – usando uma ferramenta como o Wireshark.

A vulnerabilidade ainda permite capturar tokens para qualquer serviço Google que use o protocolo de autenticação ClientLogin. Os aplicativos que usam esse protocolo incluem o Google Calendar, Contacts e Picasa, bem como apps de terceiros para o Facebook e Twitter.

Os usuários de smartphones Android que executam o último sistema operacional – 2.3.4 – já estão protegidos contra esse problema. Mas 99,7% deles ainda usam a plataforma antiga

Assim, a solução da companhia foi uma correção que força os aparelhos a usarem HTTPS – para manter os dados codificados – quando sincronizados com o Google Contacts ou Calendar, de modo que as credenciais de autenticação não sejam interceptadas.

Nenhum ataque que explorasse a vulnerabilidade foi observado. A correção para o Picasa ainda não está pronta, no momento é aconselhável que os usuários não usem redes Wi-Fi inseguras, já que essa atitude previne que as credenciais de autenticação sejam roubadas

Fonte: http://www.itweb.com.br/noticias/index.asp?cod=78255