Um grupo de programadores da Bluebox Security descobriu uma vulnerabilidade no modelo de segurança Android. A falha permite a hackers acesso ao código APK dos smartphones sem quebrar alguma das assinaturas criptografadas dos aplicativos. Assim, qualquer aplicativo legítimo pode ser transformado num Trojan malicioso, como esclareceu Jeff Forristal, diretor da pesquisa responsável por apontar o tal erro no sistema operacional.
Forristal afirma ainda que “as implicações são enormes!”. Isso porque a vulnerabilidade nos sistemas Android existe há pelo menos quatro anos. Dessa forma, estima-se que cerca de 900 milhões de smartphones estão actualmente desprotegidos e, portanto, vulneráveis. O falha em causa é relatada como sendo o “bug 8219321”.
Dependendo do tipo de aplicativo a que o hacker tem acesso, as opções de ataque podem ser várias passando, muitas delas, pelo roubo de dados pessoais. Esses programas maliciosos são capazes de acessar informações pessoais, conseguindo, por exemplo, códigos ou palavras-passe já guardas no equipamento.
Como se isto não basta-se, funções não desejadas podem ser também activadas, como o envio arbitrário de mensagens, a realização de chamadas aleatórias, a ativação secreta da câmera e a gravação de conversas são algumas das acções que uma aplicação Trojan pode executar. Em resumo, e como explica o próprio coordenador da pesquisa que descobriu o bug, “um aplicativo Trojan do próprio fabricante do dispositivo pode solicitar acesso total ao sistema Android”.
Funcionamento do bug
Todos os aplicativos para Android possuem assinaturas criptografadas, recurso utilizado para determinar a legitimidade e validade dos aplicativos instalados. A vulnerabilidade descoberta, então, faz com que seja possível alterar o código de qualquer aplicação sem que o registro criptografado seja violado. Assim, torna-se bastante difícil detectar a existência de um Trojan dotado dessas capacidades.
Como se proteger
O bug 8219321 foi informado à Google em fevereiro deste ano. A solução apontada pelos investigadores parece simples. A ideia é fazer com que todas as fabricantes de dispositivos móveis que utilizem Android, desenvolvam e disponibilizem firmwares capazes de corrigir a tal vulnerabilidade.
No entanto, o tempo para “a disponibilização dessas atualizações pode variar amplamente, uma vez que depende das fabricantes e dos modelos em questão”, como esclarece, novamente, Forristal. Por enquanto, a equipa da Bluebox aconselha a ter cuidado quando descarrega aplicativos e ficar atento, à espera que a empresa que fabricou o smartphone ou tablet lance actualizações de firmware.
Fonte: Tecmundo