Samsung Galaxy Tab é inseguro para uso corporativo, diz estudo

Uma análise técnica realizada pela empresa de segurança da informação Context Information Security afirma que o Samsung Galaxy Tab tem falhas graves de segurança que o torna completamente inadequado para uso corporativo.

Difícil de acreditar? Engenheiros da Context compararam recursos de segurança do popular Samsung Galaxy Tab 7.0 – baseado no Android 3.2 (Honeycomb) -, com o iPad 2 e o BlackBerry PlayBook. Nenhum dos três passou no teste sem ressalvas, mas o tablet da coreana ficou em um terceiro lugar bem distante.

Problemas no dispositivo variaram de inconvenientes – faltam mais ferramentas de gestão além do Exchange ActiveSync, por exemplo – à fraca implementação criptográfica. Os pesquisadores descobriram que a criptografia não era ativada por padrão e, mesmo quando ligada, só poderia proteger uma pequena partição de dados usando AES (Advanced Encryption Standard) de 128 bits. O cartão SD teve de ser codificado separadamente.

Embora o padrão possa ser substituído pelo ActiveSync, isso não seria aplicável ao cartão SD que também não criptografa nomes de arquivos. O modelo atual de criptografia também faltou com rigor e poderia estar aberto a ataques em algumas circunstâncias.

O iPad e o PlayBook se saíram muito melhor em termos de segurança de dados, embora a equipe também tenha descoberto que a segurança do dispositivo da Apple dependia fortemente do comprimento e da complexidade da chave escolhida. Escolha uma com 8 caracteres alfanuméricos e um ataque de dicionário (método utilizado para decifrar chaves ou senhas com intuito de derrubar mecanismos de autenticação) levaria 9 661 anos para ter sucesso. Reduzindo essa mesma chave para apenas quatro letras (um hábito comum entre os usuários do iPad) e o tempo cai para 18 minutos.

Outra vulnerabilidade do tablet foi a sua recuperação e bootloaders nativos (softwares que carregam o sistema) desbloqueados, o que poderia permitir a um cracker obter acesso às credenciais do ActiveSync. Nem tudo isso é culpa da Samsung, é claro – o modelo de assinatura de aplicativos do Android permite que apps maliciosos se instalem mais facilmente que no BlackBerry ou no iPad – que limitam este privilégio para si.

Disponível em dispositivos da Samsung, o recurso de limpeza remota também foi apontado como vulnerável a sequestros por qualquer aplicativo, permitindo que tais invasores “limpem o dispositivo à vontade” – embora a Samsung tenha corrigido esta falha, depois de relatado o problema.

“Houve uma diferença significativa nos níveis de segurança entre o Galaxy e o iPad e PlayBook, que eram mais estreitamente alinhados aos níveis de segurança exigidos para empresas”, concluiu a Context. “O tablet da Samsung apresentou algumas falhas graves de segurança que dificultam a sua recomendação como uma ferramenta para uso corporativo.”

Graças à experiência da RIM no mercado empresarial, o PlayBook seria o mais fácil para se tornar um dispositivo BYOD (Bring Your Own Device), o que é bastante irônico, porque, dos três, ele não é a escolha mais provável de compra dos usuários corporativos. O iPad, por outro lado, é facilmente a primeira opção, apesar de trair a confiança do consumidor às vezes.

A Samsung, por sua vez, precisa de muito trabalho para alcançar o patamar de um dispositivo confiável para negócios, embora a Samsung possa justificar que não foi criado para servir a esse propósito. A questão levantada pelo BYOD é se a simples diferença entre “bens de consumo” (= baixa segurança) e “de negócios” (= segurança elevada) é significativa.