Publicidade

App de Google para Android trazia falha que afetava bilhões de dispositivos

Por| Editado por Claudio Yuge | 18 de Junho de 2021 às 20h20

Link copiado!

App de Google para Android trazia falha que afetava bilhões de dispositivos
App de Google para Android trazia falha que afetava bilhões de dispositivos

Parte integrante da maioria das instalações do Android, o aplicativo de buscas do Google trazia falhas de segurança que colocavam em risco bilhões de usuários no mundo. Segundo Sergey Toshin, fundador da startup de defesa móvel Oversecured, a brecha permite a instalação de códigos maliciosos que permitem a um criminoso ganhar acesso completo aos dados presentes em um aparelho.

Toshin explica que a falha decorria da maneira como o sistema operacional usa sua biblioteca de códigos para reduzir o tamanho de download e o espaço ocupado por alguns aplicativos. No caso do app do Google, a falha de segurança permitia que códigos maliciosos fossem baixados no lugar dos dados legítimos presentes da biblioteca e ganhassem todas as permissões que o buscador possui.

Continua após a publicidade

Na prática, isso permitia que o aplicativo malicioso tivesse acesso às contas do Google, históricos de busca, mensagens de e-mail e de textos, listas de contato e histórico de ligações. Para completar, a brecha também garante acesso à localização do usuário infectado, bem como à câmera e microfone do aparelho invadido.

Falha foi corrigida em maio

Toshin alerta que bastaria uma única execução para o código passar a funcionar, e que nem mesmo deletar o app malicioso removeria os danos causados ao app do Google. Consultada pelo TechCrunch, a empresa afirma que a brecha já foi fechada em uma atualização distribuída em maio e que não há evidências de que ela tenha sido explorada por algum criminoso.

Segundo o fundador da Oversecured, uma falha semelhante havia sido encontrada em setembro de 2020 no TikTok e decorre do uso do carregamento dinâmico de códigos. Segundo ele, essa prática é insegura e pode levar a uma vulnerabilidade que permite a escrita arbitrária de códigos em setores críticos de um aplicativo.

Continua após a publicidade

Fonte: TechCrunch, Oversecured