Tendo em vista que a Oktoberfest ainda está bem longe de acontecer, pesquisadores da universidade de Ulm, na Alemanha, foram vasculhar a forma como o Android lida com os dados dos usuários. A descoberta não é muito boa não, não: um processo identificado por eles poderia permitir que criminosos obtivessem acesso a diversas informações.

Correção para brecha no Android 2.3.4.

De acordo com o The Next Web, o problema se resume à forma como o Android utiliza o protocolo de autenticação do Google para puxar informações da nuvem sobre e-mails, contatos e calendários (chamado de ClientLogin). Uma vez que o usuário coloca seu nome de usuário e senha, o sistema passa a enviar tokens em texto simples (o nosso querido clear text), o que torna o trabalho de interceptação muito mais fácil.

A abrangência dessa brecha de segurança é de 99% dos smartphones rodando Android. Isso porque ela existe em todas as versões do Android, desde a primeira delas até a versão 2.3.3. Criminosos poderiam conseguir dados dos usuários de até 14 dias atrás, desde que essa comunicação seja baseada em tokens clear text.

Para explorar totalmente o potencial da brecha, antes de tudo o aparelho deveria estar conectado a uma rede sem fio sem criptografia. Traçando um paralelo, o roubo de dados poderia ser feito de forma semelhante ao Firesheep, que detecta dados não protegidos trafegando em uma rede desprotegida.

O Google já sabe da ameaça, que foi alvo de um patch na atualização do Android para a versão 2.3.4, cuja data de lançamento ainda não foi informada. E como ficam os usuários de versões anteriores da plataforma móvel? Por enquanto, não ficam.