Loading
Related Posts Plugin for WordPress, Blogger...

18 de maio de 2011

Proteja seu Android em conexões Wi-Fi públicas


Como o dissemos em um  post anterior, os aparelhos rodando Android 2.3.3. e anteriores estão vulneráveis a roubo de informações atráves de conexões Wi-fi. Contudo, existem alguns procedimentos que você pode executar para se proteger. 


A vulnerabilidade está na API do protocolo ClientLogin, que simplifica as negociações entro os aplicativos e os servidores do Google. Aplicações solicitam o acesso enviando o nome de conta e senha através de uma conexão segura, e o acesso é válido por até duas semanas. Se a autenticação é enviada via HTTP não criptografado, o invasor pode usar um sniffer de rede software para roubá-la em uma rede pública, ou criar uma rede falsa usando um nome de rede comum como "Aeroporto" ou "biblioteca". Essa falha não ocorre Android 2.3.4 ou superior, incluindo Honeycomb 3.0, que cobre apenas 1 por cento de dispositivos em uso. 

É claro que a opção mais segura seria evitar o uso de redes públicas ou não encriptadas, dando preferência ao uso de conexões 3G sempre que possível. Mas isso nem sempre é uma opção viável, principalmente para os usuários de tablets que só utilizam Wi-Fi ou usuários que têm planos de dados mais modestos. 

Uma opção mais plausível seria desativar a sincronização com as aplicações Google quando estiver conectado em Wi-Fi públicas. O risco de segurança afeta os aplicativos que se conectam à nuvem, usando um protocolo chamado authToken, mas não afeta as conexões via HTTPS. Os aplicativos testados pelos pesquisadores que escreveram o relatório revelando a vulnerabilidade inclui contacts, calendar, e Picasa.O Gmail não é vulnerável porque ele usa HTTPS. 

Infelizmente trata-se de uma tarefa difícil e chata de se executar, já que há a necessidade de entrar em cada aplicativo antes de conectar manualmente e desativar a sincronização durante o tempo que estiver em Wi-Fi públicas. Uma solução menos trabalhosa seria usar um aplicativo. Um dos melhores aplicativos para comunicação segura é SSH Tunnel, que foi projetado para usuários do Android bloqueados por trás do Grande Firewall da China. SSH Tunnel tem algumas limitações: Você deve ter o acesso root no telefone para usá-lo, e os fabricantes aconselham as pessoas fora da China a procurar outro aplicativo de encapsulamento seguro. 

Uma soluçãomelhor parece ser o ConnectBot, que ainda oferece em seu web site uma versão para ser utilizada em outras versões do Android. 

Usuários de ROMs personalizadas como CyanogenMod deveria verificar quais os aprimoramentos de segurança instalados nas ROM. CyanogenMod, por exemplo, tem suporte a VPN embutido e desligado por padrão. Os usuários podem acessá-lo a partir do menu Definições, toque em configurações de rede sem fio e, em seguida, toque em Configurações VPN. 

Dada a fragmentação em dispositivos Android, este é um grave risco de segurança que é atenuada apenas pela sua limitação para aplicações específicas e as redes públicas. A solução ideal é que o Google libere correções ou atualizações do Android app o mais rapidamente possível, embora a empresa não tenha dado nenhuma indicação de quais as medidas que pretende tomar, ou quando. Como sempre, quando utilizar redes públicas de Wi-Fi, proceder com cautela.