Android: gerenciadores de senhas não são tão seguros quanto você pensa

Usar um app de gerenciamento de senhas no Android é uma boa ideia para quem usa códigos demais, tem dificuldade em recordar todas as sequências ou simplesmente quer acelerar o processo de login. O problema é que isso é bem menos seguro do que se pensa — na verdade, não faltam métodos bem simples para quebrar essas ferramentas e ter acesso a todos os dados de uma pessoa.

Segundo o Arstechnica, serviços famosos como o KeePassDroid e o LastPass, além de outros menos renomados, são fracos demais em segurança. Um app mal-intencionado, por exemplo, é capaz de acessar todo o código guardado pela ferramenta e obter acesso às senhas armazenadas. E não estamos falando de um malware, mas sim de um software "legal" que pode ser usado para más ações.

Como prova disso, um programador criou um experimento chamado ClipCaster, que, se rodado em um Android com os tais gerenciadores funcionando, é capaz de quebrá-los é disponibilizar as senhas armazenadas. Esse exemplo é uma boa notícia, já que o desenvolvedor não vai usá-lo em um malware. Porém, ele poderia: instalar um vírus que peça acesso às senhas e envie esses dados para outro dispositivo é uma possibilidade.

De quem é a culpa?

O problema está no sistema operacional móvel e no funcionamento dos gerenciadores, que usam como base de texto as próprias planilhas de notas do Android — que não têm qualquer esquema de segurança e disponibilizam o conteúdo para qualquer outro serviço, se assim for requisitado. Elas atuam como um cache temporário para todo o texto que é copiado e colado, seja no mesmo app ou entre vários. Se o recurso "Autocompletar" estiver habilitado nas senhas, fica fácil realizar a interceptação.

Os apps que usam navegadores próprios, extensões ou teclados virtuais para cadastrar as senhas não apresentaram vulnerabilidades até agora. Além disso, iOS e Windows Phone parecem livres dessa ameaça.

O responsável pelo Clip Caster está disposto a avisar os responsáveis pelos apps enfraquecidos — mas eles escutarem, admitirem o problema e sanarem a brecha é outra história. O CEO do LastPass fez o teste e confirmou a falha, o que deve significar a correção, mas será que os outros apps também farão o mesmo?