Total Security - totalsecurity.com.br
Samsung Galaxy Tab é inseguro para uso corporativo
Uma análise técnica realizada pela empresa de segurança da informação Context Information Security afirma que o Samsung Galaxy Tab tem falhas graves de segurança que o torna completamente inadequado para uso corporativo.
Difícil de acreditar? Engenheiros da Context compararam recursos de segurança do popular Samsung Galaxy Tab 7.0 - baseado no Android 3.2 (Honeycomb) -, com o iPad 2 e o BlackBerry PlayBook. Nenhum dos três passou no teste sem ressalvas, mas o tablet da coreana ficou em um terceiro lugar bem distante.
Problemas no dispositivo variaram de inconvenientes - faltam mais ferramentas de gestão além do Exchange ActiveSync, por exemplo - à fraca implementação criptográfica. Os pesquisadores descobriram que a criptografia não era ativada por padrão e, mesmo quando ligada, só poderia proteger uma pequena partição de dados usando AES (Advanced Encryption Standard) de 128 bits. O cartão SD teve de ser codificado separadamente.
Embora o padrão possa ser substituído pelo ActiveSync, isso não seria aplicável ao cartão SD que também não criptografa nomes de arquivos. O modelo atual de criptografia também faltou com rigor e poderia estar aberto a ataques em algumas circunstâncias.
O iPad e o PlayBook se saíram muito melhor em termos de segurança de dados, embora a equipe também tenha descoberto que a segurança do dispositivo da Apple dependia fortemente do comprimento e da complexidade da chave escolhida. Escolha uma com 8 caracteres alfanuméricos e um ataque de dicionário (método utilizado para decifrar chaves ou senhas com intuito de derrubar mecanismos de autenticação) levaria 9 661 anos para ter sucesso. Reduzindo essa mesma chave para apenas quatro letras (um hábito comum entre os usuários do iPad) e o tempo cai para 18 minutos.
Outra vulnerabilidade do tablet foi a sua recuperação e bootloaders nativos (softwares que carregam o sistema) desbloqueados, o que poderia permitir a um cracker obter acesso às credenciais do ActiveSync. Nem tudo isso é culpa da Samsung, é claro - o modelo de assinatura de aplicativos do Android permite que apps maliciosos se instalem mais facilmente que no BlackBerry ou no iPad - que limitam este privilégio para si.
Disponível em dispositivos da Samsung, o recurso de limpeza remota também foi apontado como vulnerável a sequestros por qualquer aplicativo, permitindo que tais invasores "limpem o dispositivo à vontade" - embora a Samsung tenha corrigido esta falha, depois de relatado o problema.
"Houve uma diferença significativa nos níveis de segurança entre o Galaxy e o iPad e PlayBook, que eram mais estreitamente alinhados aos níveis de segurança exigidos para empresas", concluiu a Context. "O tablet da Samsung apresentou algumas falhas graves de segurança que dificultam a sua recomendação como uma ferramenta para uso corporativo."
Graças à experiência da RIM no mercado empresarial, o PlayBook seria o mais fácil para se tornar um dispositivo BYOD (Bring Your Own Device), o que é bastante irônico, porque, dos três, ele não é a escolha mais provável de compra dos usuários corporativos. O iPad, por outro lado, é facilmente a primeira opção, apesar de trair a confiança do consumidor às vezes.
A Samsung, por sua vez, precisa de muito trabalho para alcançar o patamar de um dispositivo confiável para negócios, embora a Samsung possa justificar que não foi criado para servir a esse propósito. A questão levantada pelo BYOD é se a simples diferença entre "bens de consumo" (= baixa segurança) e "de negócios" (= segurança elevada) é significativa.
Difícil de acreditar? Engenheiros da Context compararam recursos de segurança do popular Samsung Galaxy Tab 7.0 - baseado no Android 3.2 (Honeycomb) -, com o iPad 2 e o BlackBerry PlayBook. Nenhum dos três passou no teste sem ressalvas, mas o tablet da coreana ficou em um terceiro lugar bem distante.
Problemas no dispositivo variaram de inconvenientes - faltam mais ferramentas de gestão além do Exchange ActiveSync, por exemplo - à fraca implementação criptográfica. Os pesquisadores descobriram que a criptografia não era ativada por padrão e, mesmo quando ligada, só poderia proteger uma pequena partição de dados usando AES (Advanced Encryption Standard) de 128 bits. O cartão SD teve de ser codificado separadamente.
Embora o padrão possa ser substituído pelo ActiveSync, isso não seria aplicável ao cartão SD que também não criptografa nomes de arquivos. O modelo atual de criptografia também faltou com rigor e poderia estar aberto a ataques em algumas circunstâncias.
O iPad e o PlayBook se saíram muito melhor em termos de segurança de dados, embora a equipe também tenha descoberto que a segurança do dispositivo da Apple dependia fortemente do comprimento e da complexidade da chave escolhida. Escolha uma com 8 caracteres alfanuméricos e um ataque de dicionário (método utilizado para decifrar chaves ou senhas com intuito de derrubar mecanismos de autenticação) levaria 9 661 anos para ter sucesso. Reduzindo essa mesma chave para apenas quatro letras (um hábito comum entre os usuários do iPad) e o tempo cai para 18 minutos.
Outra vulnerabilidade do tablet foi a sua recuperação e bootloaders nativos (softwares que carregam o sistema) desbloqueados, o que poderia permitir a um cracker obter acesso às credenciais do ActiveSync. Nem tudo isso é culpa da Samsung, é claro - o modelo de assinatura de aplicativos do Android permite que apps maliciosos se instalem mais facilmente que no BlackBerry ou no iPad - que limitam este privilégio para si.
Disponível em dispositivos da Samsung, o recurso de limpeza remota também foi apontado como vulnerável a sequestros por qualquer aplicativo, permitindo que tais invasores "limpem o dispositivo à vontade" - embora a Samsung tenha corrigido esta falha, depois de relatado o problema.
"Houve uma diferença significativa nos níveis de segurança entre o Galaxy e o iPad e PlayBook, que eram mais estreitamente alinhados aos níveis de segurança exigidos para empresas", concluiu a Context. "O tablet da Samsung apresentou algumas falhas graves de segurança que dificultam a sua recomendação como uma ferramenta para uso corporativo."
Graças à experiência da RIM no mercado empresarial, o PlayBook seria o mais fácil para se tornar um dispositivo BYOD (Bring Your Own Device), o que é bastante irônico, porque, dos três, ele não é a escolha mais provável de compra dos usuários corporativos. O iPad, por outro lado, é facilmente a primeira opção, apesar de trair a confiança do consumidor às vezes.
A Samsung, por sua vez, precisa de muito trabalho para alcançar o patamar de um dispositivo confiável para negócios, embora a Samsung possa justificar que não foi criado para servir a esse propósito. A questão levantada pelo BYOD é se a simples diferença entre "bens de consumo" (= baixa segurança) e "de negócios" (= segurança elevada) é significativa.
Fonte:
IDGNOW
URL Fonte: http://totalsecurity.com.br/noticia/2741/visualizar/
Comentários