A autenticação de um único clique pode facilitar a vida aos utilizadores de Android quando acedem a serviços geridos pela marca Google – mas também pode ser um maná para os hackers que pretendem desviar passwords de utilizadores individuais ou empresas.
Craig Young, investigador na empresa de segurança Tripwire, demonstrou, este sábado, quão fácil é lançar um ataque a uma conta usada por um dispositivo Android a partir de uma app forjada. Durante a participação na conferência DefCon, Las Vegas, Craig Young deu a conhecer um novo modo de ataque que permite intercetar os registos usados no sistema de autenticação da Google, garantindo, assim, o acesso a diferentes aplicações disponíveis da Internet, através de um vulgar browser.
Para enganar o sistema de autenticação, o hacker forjou uma aplicação de monitorização de índices bolsistas associada ao Google Finance que pode ser facilmente distribuída no Google Play (segundo rezam as crónicas, a app chegou mesmo a ser distribuída com a advertência de que se tratava uma solução maliciosa que não deveria ser instalada).
A instalação desta aplicação é constituída por dois passos que permitem o acesso aos dados de autenticação do utilizador em várias aplicações da Google: num primeiro momento é solicitada a permissão para descobrir outras contas associadas àquele utilizador; e num segundo momento é solicitado o acesso a um endereço iniciado por Weblogin e finance.google.com. Caso aceite esta última solicitação, o utilizador arrisca-se a fornecer os seus dados a um hacker, informa a Computerworld.
Google Apps, Gmail, Drive, Calendar e Voice são algumas das aplicações da Google que usam o sistema de autenticação com um único clique e que pdadecem da vulnerabilidade agora divulgada por Craig Young.
