E se os hackers pudessem pegar um aplicativo legítimo existente ou atualizá-lo com uma assinatura digital válida e modifique-o para usá-lo como um Trojan malicioso para acessar tudo em seu telefone Android ou tábua? Quando os pesquisadores de uma startup de segurança móvel chamaram Segurança Bluebox revelada que eles identificaram exatamente essa vulnerabilidade que afetou “99 por cento” dos dispositivos Android, isso foi manchete de tecnologia em toda a Web. Mas você deveria estar preocupado?
Qual é o problema?
“Essa vulnerabilidade, pelo menos desde o lançamento do Android 1.6 (codinome: “Donut”), pode afetar qualquer telefone Android lançado nos últimos 4 anos”, explicou Jeff Forristal, CTO da Bluebox, em uma postar no blog da empresa. Ele continuou apontando que “… um hacker pode explorar a vulnerabilidade para qualquer coisa, desde roubo de dados até a criação de um botnet móvel”.
Vídeos recomendados
Os arquivos APK, ou pacote de aplicativos Android, correm risco porque essa falha permite que os hackers alterem um aplicativo ou atualização legítimo, mas retêm a assinatura digital que o verifica como seguro. Eles podem criar um aplicativo falso para roubar suas senhas e usar uma assinatura digital legítima, para que seu telefone Android pense que é feito por uma empresa como Samsung, HTC ou até mesmo o próprio Google. Como os fabricantes de dispositivos e parceiros confiáveis produzem aplicativos com acesso privilegiado ao seu sistema Android, o risco de algo malicioso invadir seu telefone é muito sério.
Relacionado
- 5 coisas que adoraríamos ver no Google I/O 2023 (mas provavelmente não veremos)
- Relaxe, a assustadora regra USB-C da UE não vai roubar os benefícios do carregamento rápido
- Os melhores aplicativos de bloqueio de anúncios para Android em 2022
O que está sendo feito sobre isso?
A Bluebox revelou o bug de segurança do Android 8219321 para o Google em fevereiro de 2013. O Google já atualizou a Play Store para que haja verificações para bloquear aplicativos maliciosos que usam essa exploração. O Google compartilhou o bug com seus parceiros de hardware na Open Handset Alliance e alguns fabricantes já lançaram patches para corrigir esse problema de segurança.
Como posso evitar malware?
Se você toma cuidado para nunca deixar seu telefone sem vigilância e só instala aplicativos e atualizações de Google Play, então não há motivo real para preocupação porque você não está realmente em risco com isso explorar. Se você quiser ter certeza de que não será afetado, entre em Configurações > Segurança e certifique-se de que a caixa Permitir instalação de “fontes desconhecidas” esteja desmarcada.
Nós discutimos o Noções básicas de segurança de aplicativos Android antes e ainda se aplicam. Os criminosos agora não podem usar a Google Play Store para distribuir malware usando essa exploração, então agora é seguro baixar aplicativos lá. O que você deve evitar é instalar aplicativos ou atualizações de outras fontes – até mesmo as lojas de aplicativos Samsung ou Amazon – pelo menos por enquanto. Lojas de aplicativos Android de terceiros e links diretos em sites são os métodos de entrega mais prováveis, mas o malware pode chegar por e-mail ou até mesmo transferir para o seu dispositivo por meio de um cabo USB (se você conectar seu telefone ao seu computador).
“O principal problema para espalhar malware no Android é fazer com que o usuário baixe e instale algo de fontes inseguras (determinados mercados de terceiros ou diretamente da web)”, Maik Morgenstern, do instituto de segurança independente AV-Test, nos explicou. “A vulnerabilidade relatada não ‘ajuda’ os autores de malware aqui de forma alguma. Eles ainda teriam dificuldade em colocar suas criações na Google Play Store e, mesmo que tivessem sucesso, seus aplicativos não seriam listados na conta do autor original, é claro. [Por exemplo,] se eles criarem uma versão trojanizada de Angry Birds, ele seria listado sob o nome dos autores do malware e não sob Rovio. Portanto, os usuários dificilmente tropeçariam nesses aplicativos trojanizados. Se os usuários baixarem apenas aplicativos da Google Play Store, eles estarão seguros.”
Então, posso relaxar?
O problema com o Android é que o Google pode tomar medidas para corrigir falhas e exploits de hackers, mas não pode lançar uma atualização para todo o sistema.
“O principal problema é a política de atualização de muitos fabricantes”, disse Morgenstern. “Dispositivos antigos não recebem mais atualizações (portanto, esses dispositivos permanecerão vulneráveis) e até mesmo atualizações para novos dispositivos podem levar meses.”
Cabe aos fabricantes individuais e operadoras móveis (AT&T, Verizon, T-Mobile, Sprint, etc) enviar atualizações para os dispositivos. É comum que dispositivos Android mais antigos sejam deixados para trás. Se você tiver um dispositivo mais antigo que está em risco e não estiver satisfeito com o Google Play, poderá ficar exposto por algum tempo.
Atualização 7-9-2013: Conselho da Bluebox
Após a publicação deste artigo, a Bluebox entrou em contato conosco. Eles estão pedindo aos usuários que a melhor maneira de reduzir o risco dessa vulnerabilidade é “verificar com o fabricante do dispositivo ou com a operadora de celular sobre o modelo específico do dispositivo Android e a versão do sistema operacional para ver se uma atualização/correção recente foi disponibilizada.” Eles também apontam que você pode precisar verificar as notas de lançamento para confirmar que uma correção está incluída no atualizar. Se você não conseguir encontrar um para o seu dispositivo, eles sugerem que você evite instalar qualquer coisa fora do Google Play por enquanto.
O CTO da Bluebox, Jeff Forristal, planeja divulgar detalhes técnicos sobre o assunto em sua palestra no Black Hat EUA 2013 no fim do mês. Resta saber como os principais fornecedores de dispositivos Android reagirão. Nós o manteremos informado.
Artigo publicado originalmente em 7-8-2013.
Recomendações dos editores
- Não perca a chance de obter este tablet Lenovo Android por US $ 120
- Você não vai acreditar como este iPad é barato, graças à Cyber Monday
- O Google quer que você saiba que os aplicativos Android não são mais apenas para telefones
- A melhor coisa sobre o Android 13 não é um novo recurso ou configuração – é outra coisa
- O carregamento sem fio não está funcionando no seu Pixel com Android 13? você não está sozinho
Atualize seu estilo de vidaO Digital Trends ajuda os leitores a acompanhar o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais perspicazes e prévias exclusivas.