TargetHD.net | Notícias, Dicas e Reviews de Tecnologia (mais uma) Falha na identificação de apps do Android coloca em risco milhões de dispositivos | TargetHD.net Press "Enter" to skip to content
Você está em | Home | Software | (mais uma) Falha na identificação de apps do Android coloca em risco milhões de dispositivos

(mais uma) Falha na identificação de apps do Android coloca em risco milhões de dispositivos

Compartilhe

android-robots

Uma nova falha no Android revela mais uma porta para a entra de malwares em milhões de dispositivos ativos, nesse caso, se fazendo passar por aplicativos legítimos. O problema foi batizado como Fake ID, e apesar da Google garantir ter solucionado a falha, vários dispositivos nesse momento ainda podem estar vulneráveis.

O Fake ID existe desde 2010, e afeta o Android desde a versão 2.1 até a 4.4. Em abril desse ano, a Google publicou uma atualização do Android KitKat que soluciona essa falha, mas de acordo com as informações da própria Google, os 82.1% dos smartphones Android funcionam com versões que não contam com essa atualização.

A Bluebox Labs, empresa que descobriu o Fake ID, informa que a falha está em como o Android comprova as permissões de segurança dos aplicativos instalados. O sistema operacional outorga certificados de segurança aos aplicativos, para que esses possam ter acesso à diferentes partes do telefone e dados do usuário. Porém, os certificados em algumas vezes são estabelecidos em cadeia: alguns aplicativos pedem um certificado de segurança “pai”, para que um segundo aplicativo possa remeter à esse certificado para ser identificado.

Supõe-se que o Android verifica o certificado de segurança “filho” contrastando-o com o do certificado “pai”, mas a Bluebox garante que não é assim que as coisas funcionam. Um malwere disfarçado de aplicativo legítimo com um certificado de segurança que ajude a outro possa ser instalado no smartphone.

O dano que esse backdoor pode causar depende do malware, mas pode ser extenso. A vulnerabilidade poderia ser utilizada (por exemplo) para revelar dados do Google Wallet via NFC, obter informações pessoas de aplicativos de redes sociais, ou assumir o controle de alguns aplicativos.

A Google garante que já liberou a correção para os seus parceiros e no Android Open Source Project. Também informa que, ao escanear os aplicativos da Google Play, não encontraram registros de tentativas em aproveitar tal vulnerabilidade, e dão o problema por resolvido.

A Bluebox oferece em seu aplicativo de segurança para escanear o nosso dispositivo. Clique aqui para mais detalhes.

Via The Guardian


Compartilhe