O Trojan, que existe já há quatro anos, é capaz de alterar o código de aplicativos sem afetar a assinatura criptografada dos apps.
Um time de pesquisadores da Bluebox Security descobriu uma vulnerabilidade no modelo de segurança Android. A falha permite a hackers acesso ao código APK dos mobiles sem quebra alguma das assinaturas criptografadas dos aplicativos. Assim, “qualquer app legítimo pode ser transformado em um Trojan malicioso”, como bem esclarece Jeff Forristal, chefe da pesquisa responsável por apontar o tal erro no sistema operacional desenvolvido pela Google.
E, ainda nas palavras de Forristal, “as implicações são enormes!”. Isso porque a vulnerabilidade nos sistemas Android existe há pelo menos quatro anos (época em que a versão 1.6 do OS em xeque fora lançado). Dessa forma, estima-se que cerca de 900 milhões de mobiles estão atualmente desprotegidos – e vulneráveis, portanto, ao “bug 8219321” (nome atribuído à falha encontrada).
Implicações
Dependendo do tipo de aplicação, um hacker pode “explorar a vulnerabilidade para qualquer coisa, como [para] o roubo de dados e criação de um botnet móvel” (coleção de softwares que se executam automaticamente), segundo esclarece Jeff Forristal. Esses programas maliciosos são capazes de acessar informações pessoais, conseguindo, por exemplo, códigos ou senhas já informados ao aparelho.
Além disso, funções indesejadas podem ser também ativadas: o envio arbitrário de mensagens, a realização de chamadas aleatórias, a ativação “secreta” da câmera e até mesmo a gravação de conversas são algumas das ações que uma aplicação Trojan pode executar. Em resumo, e como explica o próprio coordenador da pesquisa que descobriu o bug, “um aplicativo Trojan [“disfarçado”] do próprio fabricante do dispositivo pode solicitar acesso total ao sistema Android”.
Como o bug funciona?
Todos os aplicativos para Android possuem assinaturas criptografadas – recurso utilizado para determinar a legitimidade e validade dos apps instalados. A vulnerabilidade descoberta, então, faz com que seja possível alterar o código de qualquer aplicação sem que o registro criptografado seja quebrado (ou afetado de qualquer forma).
Logo, torna-se bastante difícil detectar a existência de um Trojan dotado dessas capacidades. Pode ser, por exemplo, que um autor malicioso “engane” o Android e invada o sistema de modo sorrateiro – sem ser notado.
O que fazer?
O bug 8219321 foi informado à Google em fevereiro deste ano. A solução apontada pelos pesquisadores parece simples: a ideia é fazer com que todas as fabricantes de dispositivos mobiles (e que utilizam, obviamente, o sistema Android) desenvolvam e disponibilizem firmwares capazes de consertar a tal vulnerabilidade.
No entanto, o tempo para “a disponibilização dessas atualizações pode variar amplamente, [uma vez que] depende das fabricantes e dos modelos em questão”, conforme esclarece novamente Forristal.
Por enquanto, as recomendações sugeridas pela equipe de pesquisadores da Bluebox são as seguintes:
- Seja cauteloso ao baixar quaisquer aplicativos; e
- Mantenha seu aparelho atualizado e fique ligado nos firmwares disponibilizados pela fabricante do seu mobile.
Nenhum comentário:
Postar um comentário