Uma nova falha no Android revela mais uma porta para a entra de malwares em milhões de dispositivos ativos, nesse caso, se fazendo passar por aplicativos legítimos. O problema foi batizado como Fake ID, e apesar da Google garantir ter solucionado a falha, vários dispositivos nesse momento ainda podem estar vulneráveis.
O Fake ID existe desde 2010, e afeta o Android desde a versão 2.1 até a 4.4. Em abril desse ano, a Google publicou uma atualização do Android KitKat que soluciona essa falha, mas de acordo com as informações da própria Google, os 82.1% dos smartphones Android funcionam com versões que não contam com essa atualização.
A Bluebox Labs, empresa que descobriu o Fake ID, informa que a falha está em como o Android comprova as permissões de segurança dos aplicativos instalados. O sistema operacional outorga certificados de segurança aos aplicativos, para que esses possam ter acesso à diferentes partes do telefone e dados do usuário. Porém, os certificados em algumas vezes são estabelecidos em cadeia: alguns aplicativos pedem um certificado de segurança “pai”, para que um segundo aplicativo possa remeter à esse certificado para ser identificado.
Supõe-se que o Android verifica o certificado de segurança “filho” contrastando-o com o do certificado “pai”, mas a Bluebox garante que não é assim que as coisas funcionam. Um malwere disfarçado de aplicativo legítimo com um certificado de segurança que ajude a outro possa ser instalado no smartphone.
O dano que esse backdoor pode causar depende do malware, mas pode ser extenso. A vulnerabilidade poderia ser utilizada (por exemplo) para revelar dados do Google Wallet via NFC, obter informações pessoas de aplicativos de redes sociais, ou assumir o controle de alguns aplicativos.
A Google garante que já liberou a correção para os seus parceiros e no Android Open Source Project. Também informa que, ao escanear os aplicativos da Google Play, não encontraram registros de tentativas em aproveitar tal vulnerabilidade, e dão o problema por resolvido.
A Bluebox oferece em seu aplicativo de segurança para escanear o nosso dispositivo. Clique aqui para mais detalhes.
Via The Guardian