Grupo de pesquisadores consegue hackear app do Gmail

Por Redação | 22.08.2014 às 15:49 - atualizado em 23.08.2014 às 16:34

Um grupo de pesquisadores norte-americanos revelou nesta semana que conseguiu transpassar os esquemas de segurança de uma série de aplicativos, incluindo o de serviço de e-mails do Google, o Gmail. De acordo com o noticiado pela BBC, a taxa de sucesso obtida pelos pesquisadores foi de 92% e o Gmail foi um dos apps mais fáceis de invadir.

A falha de segurança do app foi explorada em dispositivos Android e os pesquisadores disseram que bastava manipular a memória dos smartphones para que um software malicioso ganhasse acesso ao Gmail. "Apesar de tudo ter sido feito no Android, nós desconfiamos que é possível fazer o mesmo em outros sistemas operacionais", disseram os pesquisadores.

Além do aplicativo para dispositivos móveis do Gmail, outros aplicativos renomados também tiveram sua segurança quebrada. É o caso, por exemplo, do app da Amazon, um dos mais seguros na opinião do grupo. Neste caso, a taxa de sucesso de invasão foi de "apenas" 48%.

Brecha de segurança está na memória compartilhada do Android

O feito só pode ser alcançado pelos pesquisadores após eles observarem que havia uma brecha de segurança na memória compartilhada do Android. Ao contrário da memória tradicional, que aloca espaços específicos para cada aplicativo, a compartilhada é usada por todos os aplicativos ao mesmo tempo e isso abre espaço para que uma aplicação maliciosa obtenha dados e acesse outras aplicações sem o conhecimento da vítima.

E foi justamente assim que a pesquisa foi conduzida: os pesquisadores desenvolveram um software malicioso que aparentemente era inofensivo e o instalaram nos aparelhos. A partir dai, eles conseguiam saber quando um usuário estava logando no app do Gmail e roubavam as credenciais de autenticação dele.

"Todo mundo sempre acreditou que um app não poderia interferir no funcionamento do outro, mesmo usando a memória compartilhada do sistema", disse Zhiyun Qian, professor assistente da Universidade da Califórnia, nos Estados Unidos, e um dos pesquisadores do estudo. "Nosso trabalho foi mostrar que essa crença estava errada e que um aplicativo pode interferir significativamente em outro".

Numa outra demonstração, os pesquisadores conseguiram interceptar imagens de talões dos usuários que usam o app do Chase Bank para fazer pagamentos com cheques. No app, há a possibilidade de tirar uma foto do cheque e enviá-la para o banco para agilizar o processo.

Com o software malicioso ativado, eles conseguiram interceptar o fluxo de informações da câmera dos aparelhos e enviar as imagens para um servidor remoto. A partir dai, um cibercriminoso poderia, por exemplo, utilizar os dados pessoais da vítima, bem como sua assinatura e dados bancários para realizar transações fraudulentas.

O Google ainda não se pronunciou sobre como pretende corrigir a falha e nem quando uma atualização estará disponível. Ao invés disso, a companhia preferiu se pronunciar através de uma porta-voz e "agradecer" aos pesquisadores pelo trabalho feito. "Graças a pesquisadores de fora do Google que o Android continua crescendo e é cada vez mais forte e seguro", disse a representante.

Leia também: Saiba como garantir a proteção do seu Android apenas com apps gratuitos