Pesquisadores encontram falha de segurança na atualização do Android

Por Redação | 24 de Março de 2014 às 11h02
photo_camera Seja Livre

Um grupo de pesquisadores da Universidade de Indiana, em parceria com a Microsoft Research, revelou ter encontrado 6 vulnerabilidades relacionadas ao processo de atualização do Android. Chamadas de "pileup flaws", essas falhas permitem que aplicativos maliciosos, instalados sem danos em versões anteriores do sistema operacional, se atualizem automaticamente durante a atualização do Android, aumentando suas próprias permissões dentro do sistema. De acordo com a pesquisa, o erro afeta todos os aparelhos que utilizam Android.

Na página da pesquisa, o grupo afirma que "as consequências dos ataques são terríveis, dependendo das oportunidades de dano dos diferentes aparelhos Android". Entre as possibilidades, eles citam acesso a informações sigilosas (como mensagens de texto e de voz e dados de outros aplicativos), mudança de arquivos no sistema e substituição de aplicativos.

Indiana University - Pileup Flaws chart

Gráfico utilizado na pesquisa mostra quantidade de vulnerabilidades geradas em cada atualização nos aparelhos Android.
Fonte: System Security Lab at Indiana University.

Para demonstrar as vulnerabilidades, os pesquisadores criaram uma série de aplicativos maliciosos e os colocou na Google Play e outras lojas para Android. Todos puderam ser baixados normalmente e foram capazes de explorar as falhas de segurança. No total foram encontradas 6 vulnerabilidades e todas foram reportadas ao Google. Apenas uma foi resolvida.

No vídeo abaixo, eles demonstram as falhas em um Nexus S.

Para auxiliar os usuários do sistema operacional a se protegerem, o grupo desenvolveu um aplicativo de segurança chamado Secure Update Scanner, que pode ser baixado gratuitamente na Google Play, Amazon AppStore, GetJar, SlideMe e 360 Mobile Assistant.

Siga o Canaltech no Twitter!

Não perca nenhuma novidade do mundo da tecnologia.