Atualização, quarta-feira às 11:45 PT: O Google emitiu uma correção que força os aplicativos do Google afetados a se conectarem por meio do protocolo seguro HTTPS. Contanto que você atualize seus aplicativos quando a correção for enviada, essa vulnerabilidade pública de Wi-Fi não afetará você. Até lá, é melhor usar o Wi-Fi público com extrema cautela ou siga as instruções abaixo.

Os telefones e tablets Android que executam a versão 2.3.3 e anteriores sofrem com uma vulnerabilidade de calendário e informações de contato em redes Wi-Fi públicas, de acordo com um novo relatório. No entanto, existem algumas medidas concretas que você pode tomar para se proteger.

Veja como isso funciona. A vulnerabilidade está na API do protocolo ClientLogin, que simplifica a forma como o Google app fala com os servidores do Google. Os aplicativos solicitam acesso enviando um nome de conta e senha por meio de conexão segura, e o acesso é válido por até duas semanas. Se a autenticação for enviada por HTTP não criptografado, um invasor poderá usar o software de captura de rede para roubá-lo por meio de uma rede pública legítima ou falsificar a rede usando uma rede pública com nome comum, como "aeroporto" ou "biblioteca". Embora isso não funcione no Android 2.3.4 ou superior, incluindo o Honeycomb 3.0, que cobre apenas 1% dos dispositivos em uso.

Naturalmente, a solução mais segura é evitar o uso de redes Wi-Fi públicas e não criptografadas, alternando para redes 3G e 4G móveis sempre que possível. Mas isso nem sempre é uma opção, especialmente para proprietários de tablets que usam apenas Wi-Fi ou para aqueles que têm planos de dados restritos.

Uma opção legítima, embora minuciosa, é desativar a sincronização dos aplicativos do Google afetados quando conectados via Wi-Fi público. O risco de segurança afeta os aplicativos que se conectam à nuvem usando um protocolo chamado authToken, não HTTPS. Os aplicativos testados pelos pesquisadores que escreveram o relatório revelando a vulnerabilidade incluem Contatos, Calendário e Picasa. O Gmail não é vulnerável porque usa HTTPS.

No entanto, isso é uma correção complicada, pois exige que você entre em cada aplicativo antes de se conectar e desabilitar manualmente a sincronização durante o tempo em que você está na rede Wi-Fi pública específica. Uma solução muito mais fácil é usar um aplicativo. Um dos melhores aplicativos para comunicação segura é o SSH Tunnel (download), que foi projetado para usuários do Android presos atrás do Great Firewall of China. O SSH Tunnel tem algumas limitações: você deve fazer root no seu telefone para usá-lo, e os fabricantes recomendam fortemente que as pessoas que não estão na China procurem em outro lugar por um aplicativo de tunelamento seguro.

Uma solução melhor parece ser o ConnectBot (download), que até oferece uma versão do seu site que suporta versões pré-Cupcake do Android.

Os usuários de ROMs personalizadas de terceiros, como o CyanogenMod, devem verificar com quais aprimoramentos de segurança sua ROM instalada é fornecida. O CyanogenMod, por exemplo, possui suporte VPN integrado e desativado. Os usuários de cianogênio podem acessá-lo no menu Configurações, tocar em Configurações de rede e sem fio e depois em Configurações de VPN.

Dada a fragmentação em dispositivos Android, esse é um grave risco de segurança que é mitigado apenas por sua limitação a aplicativos específicos e redes públicas. A solução ideal é que o Google lance atualizações de aplicativos ou atualizações do Android o mais rápido possível, embora a empresa não tenha dado nenhuma indicação de quais etapas planeja realizar ou quando. Como sempre ao usar redes Wi-Fi públicas, prossiga com cautela.