android-umbrella

Uma nova vulnerabilidade no Android exposta pelos pesquisadores da IBM deixa o caminho livre para um ataque em aplicativos e serviços online (como aplicativos de lojas de apps) com suas credenciais. A falha só está corrigida na mais recente versão do sistema operacional, a 4.4 KitKat. Ou seja, as demais versões – 86% dos dispositivos Android – estão nesse momento vulneráveis.

De acordo com os pesquisadores, a vulnerabilidade afeta a Android KeyStore, a parte dos sistema operacional onde são armazenadas as chaves criptográficas dos aplicativos utilizados no smartphone, como por exemplo o PIN ou os padrões de digitais que desbloqueiam o dispositivo. Tendo acesso à essas chaves, um usuário não autorizado poderia acessar diretamente os aplicativos protegidos por senhas, como por exemplo, os aplicativos de loja online onde não precisamos digitar a mesma senha todas as vezes que precisamos realizar uma compra adicional (uma vez que a senha já está armazenada na KeyStore).

Porém, explorar essa vulnerabilidade não é algo tão simples quanto parece. O atacante teria que instalar antes um aplicativo no smartphone a ser violado para, com ela, lançar o ataque e acessar os códigos. Não é algo fácil, mas perfeitamente possível. O que mais preocupa é que, nesse exato momento, milhões de smartphones ao redor do mundo estão vulneráveis. Mais uma vez (no caso do Android).

O que fazer para evitar o problema? Por enquanto, quase nada. Evitar instalar aplicativos que não sejam de desenvolvedores e empresas de plena confiança é sempre uma ótima pedida. Mas espera-se que a Google lance em breve algum parche para corrigir ao menos os dispositivos com Android Jelly Bean, que já são quase 60% de todos os dispositivos Android nesse momento.

Via IBM, ArsTechnica