Segundo os investigadores alemães, grande parte das aplicações desenvolvidas para Android exigem uma chave de autenticação para serem ativadas. Só que, uma vez feito o registo nessas apps, deixa de ser exigida, durante um período predeterminado, a autenticação do utilizador.
Em alguns casos, as chaves de acesso passam a ser enviadas para os servidores da Google através de ficheiros de texto, o que facilita a interceção por parte de cibercriminosos especializados na monitorização de redes Wi-Fi, noticia a BBC.
Os autores do estudo referem ainda que as chaves de acesso (ou tokens) usadas no Android não têm restrições no que toca aos equipamentos ou localização. E por isso podem ser usadas facilmente pelos amigos dos dados alheios em qualquer telemóvel compatível com Android.
Bastian Konings, Jens Nickels, e Florian Schaub escreveram num blogue da Universidade que estes tokens, uma vez desviados, podem ser usados para descobrir detalhes cruciais da vida dos utilizadores através do e-mail, do browser ou de apps instaladas no telemóvel.
Os investigadores alemães sublinham que este problema apenas é solucionado com a versão 2.3.4 do Android – que não será usada por mais de 0,3% dos telemóveis que correm o sistema operativo da Google.
Ainda não há notícias de ataques que exploram esta vulnerabilidade. O que talvez justifique a inexistência de reação da Google ao estudo desenvolvido na Universidade de Ulm.
