Uma epidemia de vazamentos de informação de smartphones com Android foi descoberta. A vulnerabilidade afeta 99% dos aparelhos com Android e permite que hackers roubem suas informações de Facebook, Google Calendar ou qualquer outro dado pessoal, caso você use uma rede Wi-Fi aberta maliciosa.

A vulnerabilidade afeta apps que usam o protocolo de autenticação conhecido como ClientLogin em aparelhos com versão 2.3.3 ou inferior do sistema. A API do ClientLogin supostamente aumenta a segurança e aumenta a performance dos apps, já que os servidores do Google precisam apenas validar as informações de login do usuário uma vez, e o nome do usuário e a senha são enviados apenas uma vez; após isso, o app usa apenas um token.

No entanto, a não ser que você faça parte do 1% que já tem o Android 2.3.4, essas credenciais — para o Google Calendar, Twitter e outras contas — são submetidos de forma aberta. Isso dá acesso às contas caso você se conecte a uma rede wireless não criptografada, criada por um hacker.

Um hacker só precisa criar um ponto de acesso Wi-Fi com um nome de SSID comum, como “starkbucks” ou “vex”, e quando o aparelho com Android tenta se conectar automaticamente, o hacker captura os tokens de identificação das contas.

A melhor solução no caso é desligar a conexão automática de Wi-Fi e optar pelo 3G quando a única opção for uma rede Wi-Fi desconhecida. Se você precisar o Wi-Fi em algum hotspot por alguma razão (por exemplo, com um tablet que não tem 3G), use algo como o app SSH Tunnel, que cria uma conexão segura entre seu aparelho e o servidor, para manter os dados a salvo dos vilões. Como última dica, conecte-se manualmente a uma rede Wi-Fi apenas após verificar se se trata de algo real.

Mais detalhes sobre a vulnerabilidade (que é bem parecida com a vulnerabilidade Firesheep, só que agora em versão móvel) você encontra no link final. Você pode também ler como ficar seguro em redes públicas Wi-Fi (para laptops, mas as configurações podem se aplicar à aparelhos móveis) e por que você deve fugir de redes como “free public Wi-Fi“.

99% of Android phones leak secret account credentials | The Register; Foto por Johan Larsson