Android: falha de segurança permite instalação de apps sem autorização

Por Redação | 13 de Fevereiro de 2015 às 18h12

Uma grave vulnerabilidade no Android está permitindo que hackers instalem aplicativos maliciosos sem autorização dos usuários das versões mais antigas do sistema operacional. Por meio de uma falha em um recurso da Google Play Store, utilizadores da plataforma que estejam logados na loja por meio do navegador nativo podem estar vulneráveis, desde que estejam usando a versão Jelly Bean 4.3 ou anteriores.

Tudo acontece por meio do browser e o erro está relacionado a uma implementação incorreta da opção do X-Frame, que está relacionada, justamente, a impedir a execução de scripts maliciosos. Por meio da manipulação de tais dados, hackers poderiam realizar justamente o efeito inverso e ativar a instalação de softwares maliciosos diretamente, como se eles fossem recursos do sistema operacional, sem que seja precisa a autorização expressa do usuário.

Desde que o app infectado esteja disponível na loja online do Google – o que não é nada difícil –, os criminosos seriam capazes de controlar praticamente todos os recursos do aparelho e também suas autorizações. Assim, ficaria fácil instalar um app de monitoramento, por exemplo, que possa coletar informações pessoais em mensagens de texto, imagens e histórico de acesso à internet, mesmo fora dos navegadores nativos.

Da mesma forma, os hackers também poderiam executar os aplicativos maliciosos em segundo plano, sem que o usuário tenha qualquer conhecimento de que está com o celular ou tablet comprometido. As informações seriam enviadas de volta aos criminosos por meio da rede sem fio. A notícia apareceu em reportagem do Pplware.

Descoberta pela comunidade de segurança Rapid 7, a falha já teria sido informada ao Google no final do ano passado. Como a empresa não tomou nenhuma atitude em relação a ela, a vulnerabilidade vem agora a público como forma de forçar a companhia a agir mais rapidamente, uma vez que com a divulgação, hackers que não conheciam o problema podem, agora, tentar se aproveitar dele.

O problema se torna ainda mais grave quando se pensa que o Jelly Bean é a versão mais utilizada do Android nos dias de hoje. A edição do sistema operacional está presente em quase metade de todos os aparelhos com a plataforma em funcionamento, ou seja, a vulnerabilidade coloca aproximadamente 50% de toda a base de usuários em risco. Nesse ensejo, o silêncio do Google em resolver a questão parece inexplicável.

Por isso mesmo, os especialistas também fizeram questão de divulgar a melhor maneira de se proteger, e ela é bem simples: prefira navegadores alternativos, como o Mozilla Firefox ou o próprio Chrome, do Google. Eles não contam com a vulnerabilidade, mesmo quando rodando em versões mais antigas do Android, e garantem a proteção necessária contra a falha de segurança detalhada aqui.

Além disso, claro, uma solução ainda mais eficaz não apenas contra esta, mas qualquer ameaça, é a atualização do sistema operacional do aparelho ou a troca por um dispositivo que rode as versões mais recentes do Android. Quanto mais o tempo passa, mais difícil fica para o Google consertar todas as falhas nas mais diversas versões de sua plataforma, e isso, na mesma medida, também constitui uma porta que se escancara cada vez mais para a ação dos criminosos.

O Google não se pronunciou sobre o assunto nem revelou se vai lançar uma atualização para o sistema operacional.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.