Posts tagged segurança

O que um aplicativo sem permissões pode acessar

0

Um grupo de pesquisadores resolver investigar o que um aplicativo que não pede permissão alguma consegue acessar no Android. Há algumas coisas interessantes.

A primeira coisa que consegue acessar é o cartão de memória. Tudo que está nele! Isso é perfeitamente explicável: na esmagadora maioria dos aparelhos o cartão de memória fica disponível para acesso externo, como se fosse um pendrive. Isso implica em que ele não pode ter métodos de proteção mais sofisticados pois se assim fosse não seria possível acessá-lo sem ser no aparelho! Simples assim.

Claro que isso pode ser um problema se algum aplicativo guardar alguma informação mais sensível por ali.

O aplicativo também tem acesso ao diretório /proc. Esse diretório é um local especial pois é utilizado para que aplicações conversem com o kernel e peguem informações dele. Ali é possível ler, por exemplo, o Android ID (um número gerado pelo sistema e que normalmente fica o mesmo pelo resto da vida, a menos que um reset no aparelho seja feito) ou a versão do sistema rodando. Não são informações críticas ou preocupantes, até porque isso é inerente ao Linux (vamos lembrar que o Android é, no fundo, um Linux).

E a última informação que o app pode ver é a lista de aplicativos instalados no aparelho. Isso é feito acessando o arquivo /data/system/packages.list. Essa informação por si não oferece risco algum. O problema começa quando algum aplicativo instalado possuir alguma falha de segurança que possa ser explorada. Ao verificar que determinado programa está instalado, e sabendo da falha que ele possui, um app malicioso poderia provocar danos.

Nenhum desses acessos, por si, são danosos, pois mesmo que o aplicativo tenha acesso a algo mais restrito (digamos que ele pudesse ler o IMEI, coisa que não consegue), ele nada poderia fazer com a informação sem acesso à internet (e isso precisa de uma permissão específica). Mas se algum aplicativo com vulnerabilidade conhecida estiver instalado, aí a coisa pode complicar…

Não consigo imaginar um motivo para que o arquivo com os apps esteja disponível para todos, mas essa informação de qualquer forma está disponível para o desenvolvedor através da API do próprio Android.

É possível dizer que no fundo não há problema de segurança nesses dados que estão disponíveis, mas sim que os desenvolvedores precisam tomar cuidado ao fazer suas aplicações para não deixá-las com vulnerabilidades e também cuidado onde guardam informações sensíveis.

fonte: Leviathan Security Group, via Android Central

O Android é seguro…o FBI garante!

0

Já muito se falou sobre segurança nos aparelhos com Android, de como existem malwares por aí e de como alguns programas agem de forma errada. Até casos de falsa falta de segurança pipocam de vez em quando.

A notícia de hoje é justamente o contrário: mostra o quão seguro um aparelho com Android pode ser! O FBI, a toda poderosa Polícia Federal dos Estados Unidos, não consegue acessar os dados que estão no celular de um detido. Ele usou algum tipo de magia negra no aparelho? Não….ele simplesmente colocou um padrão de bloqueio como forma de desbloquea-lo. E o FBI não conseguiu descobrir qual é esse padrão, fazendo tantas tentativas que acabaram por bloquea-lo definitivamente. Agora ele só pode ser desbloqueado usando as informações do dono (usuário e senha).

Só que o dono não quer cooperar…por motivos mais do que óbvios.

O FBI entrou em contato com a Google (leia-se pediu um mandato judicial) para que revelasse o nome do usuário e senha, de forma a poder ter acesso aos dados no aparelho (informações de GPS, mensagens de texto, histórico de navegação, histórico de chamadas, etc.).

Claro que o rapaz não é alguém de muita confiança, visto que já possui ficha criminal e estava inclusive em liberdade condicional. E foi detido suspeito de continuar achando sua vida um perfil de GTA. Mas serve para mostrar que o Android não é assim tão inseguro quanto muitos querem fazer parecer.

fonte: Ars Technica, via Android Community

Falhas de segurança: divulgar ou ficar quieto?

0

Eu acreditava que falhas de segurança, ao serem descobertas, deveriam ser informadas ao responsável, e depois de algum tempo (principalmente depois que foram corrigidas) divulgadas para evitar que se repetissem.

O problema com esse raciocínio é que ele é lindo na teoria, mas totalmente falho na prática.

Quando uma falha de segurança é descoberta, a primeira coisa que o envolvido tenta é abafar o caso e tentar evitar ao máximo a sua divulgação, por uma questão bem simples: é muito mais barato abafar do que corrigir o problema.

Exemplos?? Vários! Podemos começar pela Symantec, que teve códigos-fonte de programas roubados, e depois os hackers que fizeram o roubo tentaram aparentemente extorquir a empresa. No final os códigos foram liberados e a empresa soltou um comunicado pedindo a seus clientes que deixem de usar alguns de seus produtos por algum tempo.

O detalhe: em 2006 houve uma invasão aos servidores da empresa, onde código-fonte foi roubado, e mesmo assim eles continuaram usando esse código ao invés de refazê-lo…algo que seria muito mais caro e trabalhoso. Mas muito mais seguro.

Outro exemplo é o do recém divulgado problema com o Bilhete Único de São Paulo (bilhete utilizado para pagar as passagens de ônibus, trem e metrô na região metropolitana da cidade). Originalmente quem descobriu a falha diz que avisou a empresa e não liberou nenhuma informação, exceto um vídeo onde mostram o problema. Fez o certo.

Só que hoje chega a notícia de que essa falha já é conhecida há pelo menos 1 ano, e que a empresa (SPTrans) já havia sido avisada, sem ter tomado nenhuma atitude . Resultado? Divulgaram todos os detalhes da falha e de como explorá-la. Agora a empresa será obrigado a se mexer, e muito rápido.

Se a falha já é conhecida a tanto tempo, quantas pessoas será que não se utilizam desse artifício para furtar dinheiro, com conivência da própria empresa que nada fez para impedir?

A partir do momento que uma empresa é avisada sobre uma falha de segurança já se deve supor que essa falha está sendo explorada, portanto a correção do problema requer urgência.

No Android, infelizmente, não existe essa urgência. O motivo é simples: como o sistema é aberto, usa e altera quem quer. É isso que os fabricantes e operadoras fazem e adoram. Aí quando aparece uma falha, que a Google resolve rapidamente, a maioria dos usuários só vai receber essa atualização quando (e se) der na telha do fabricante/operadora.

Basta ver o gráfico de utilização do sistema pelo mundo para ter uma visão clara. O problema não é na troca de versão do sistema, como do FroYo (2.2) para o Gingerbread (2.3), mas nas versões internas, como do 2.3.3 para o 2.3.7. É o mesmo sistema, com correções de bugs e de segurança. Mas que nem todo mundo recebe porque as empresas não tem interesse…

Essas falhas precisam ser divulgadas, e os usuários precisam pressionar pelas correções e disponibilização de sistemas atualizados.

Quebrada senha do Google Walllet. Ou não.

0

(texto atualizado às 17:30 e novamente às 19:00)

A nova notícia do dia é que pesquisadores conseguiram quebrar a senha do usuário no Google Wallet.

Pra quem não sabe, o Google Wallet é o serviço de carteira digital da Google, onde os pagamentos são feitos através do celular ao invés do cartão de crédito, utilizando o NFC para isso. Basicamente você aproximaria o seu celular com NFC habilitado do aparelho do lojista, digitaria sua senha no celular, e pronto! Compra feita! O modus operandi poderíamos dizer que é igual ao utilizado com um cartão de crédito hoje, onde você passa o cartão na máquina do lojista e digita sua senha ali. Ops….não é igual, pois a senha é digitada na máquina do lojista, que pode ter sido adulterada para capturar sua senha e clonar cartões.

No Google Wallet só você e seu aparelho tem acesso à senha. Mais segurança.
(mais…)

Protegendo seu Android contra roubos

9

(texto atualizado)

A pior coisa que pode acontecer com alguém que compra um Android é perdê-lo ou ser roubado. Sim, pois mesmo que aconteça algum acidente com ele, como cair no chão e quebrar a tela, você ainda pode mandá-lo para a assistência (provavelmente sairá mais barato comprar um novo do que arrumar o quebrado, mas isso não vem ao caso).

Só que há uma coisa que você pode fazer para pelo menos ainda ter uma chance de ter seu amado aparelho de volta: instalar um aplicativo de localização nele! Claro que há uma coisa que se precisa ter em mente: não há milagres.
(mais…)

Go to Top