API torna senhas no Android inseguras

Desenvolvedores utilizam uma solução alternativa e ao mesmo tempo insegura para entregar credenciais de login aos aplicativos, tornando estas senhas vulneráveis.

Por | @oficinadanet Smartphones
<p>Em um estudo, estudantes da Universidade de Hannover descobriram que os agentes de senha em smartphones Android n&atilde;o s&atilde;o seguros. Os pesquisadores encontraram 13 vulnerabilidades de senha em um Nexus Galaxy rodando Android 4.0. Descobriram ainda que o desenvolvimento de senhas realmente seguras, n&atilde;o &eacute; um trabalho "simples" a ser realizado.<br /><br />As regras para os agentes de senha em smartphones diferem daquelas criadas para desktops. Ao contr&aacute;rio do desktop, o agente de senha do smartphone s&atilde;o incapazes de trabalhar diretamente com o navegador. Como o Android n&atilde;o fornece uma API para integrar os agentes de senha em navegadores ou aplicativos, os desenvolvedores utilizam uma solu&ccedil;&atilde;o alternativa insegura, que usam &aacute; &aacute;rea de transfer&ecirc;ncia do sistema operacional para entregar as credenciais de login para o navegador e aplicativos.</p> <p>Os usu&aacute;rios podem utilizar a &aacute;rea de transfer&ecirc;ncia para copiar as credenciais de login dos administradores de senha e col&aacute;-los em aplicativos ou no navegador, isso representa um enorme problema, j&aacute; que a &aacute;rea de transfer&ecirc;ncia &eacute; um recurso global, que pode ser acessado por qualquer aplicativo sem necessidade de permiss&otilde;es espec&iacute;ficas. H&aacute; ainda um problema maior, um servi&ccedil;o de notifica&ccedil;&atilde;o de todo o sistema permite que aplicativos sejam notificados, e avisar todas as altera&ccedil;&otilde;es de conte&uacute;do realizadas na &aacute;rea de transfer&ecirc;ncia:<br /><br /><code>android.content.ClipboardManager.OnPrimaryClipChangedListener</code><br />Isto pode ser explorado por malwares para "escutar" todas as senhas transferidas atrav&eacute;s da &aacute;rea de transfer&ecirc;ncia.</p> <p>Os pesquisadores desenvolveram um programa demo, PWSniff, que implementou precisamente essa funcionalidade. O PWSniff &eacute; executado como um processo em segundo plano e n&atilde;o requer quaisquer permiss&otilde;es. O programa realiza uma busca em todos os dados do smartphone.Os desenvolvedores de malware devem coloc&aacute;-los na mesma combina&ccedil;&atilde;o da &aacute;rea de transfer&ecirc;ncia, para capturar as credenciais.</p>

Mais sobre: android segurança mobile
Share Tweet
Recomendado
Comentários
Carregar comentários
Destaquesver tudo
  • ASSINE NOSSA NEWSLETTER

    As melhores publicações no
    seu e-mail

  • Preencha para confirmar