Apps populares de teclado virtual para Android têm falhas de segurança graves

Três aplicativos populares que transformam os celulares Android em teclados virtuais para outros dispositivos têm falhas de segurança graves que expõem os usuários a roubo de dados e execução remota de códigos. Juntas, as soluções acumulam mais de dois milhões de downloads em versões gratuitas e pagas, todas com as brechas que foram localizadas em agosto e ainda permanecem ativas.

• Os melhores aplicativos de segurança para proteger o seu Android
• Como fazer uma checagem de segurança no Android

Os softwares citados no alerta emitido pela Synopsys são o Telepad Remote Mouse & Keyboard, PC Keyboard WiFi & Bluetooth e Lazy Mouse. Apenas os dois últimos permanecem disponíveis na Google Play Store, enquanto o terceiro só pode ser baixado paralelamente, a partir do site oficial Nenhum deles recebe suporte de seus desenvolvedores originais, o que significa que as brechas localizadas agora devem permanecer abertas, enquanto os usuários seguem suscetíveis a ataques.

De acordo com os especialistas, as vulnerabilidades estão relacionadas à forma como os teclados virtuais se comunicam com outros dispositivos, bem como a aberturas que permitem explorações remotas. Todos estão sujeitos a ataques de man-in-the-middle, com a interceptação do que é digitado por um intermediário presente na rede, e também não possuem as autenticações necessárias para evitar que um atacante execute comandos à distância.

As falhas chegam a ser básicas, em alguns elementos, com os três aplicativos transferindo dados em texto simples, sem a menor preocupação com criptografia e a proteção das informações. Quando falamos de um teclado, a situação se torna ainda mais grave, já que também entram na dança as conversas pessoais e credenciais de acesso a sistemas pessoais, financeiros e corporativos.

De acordo com o relatório da Synopsys, ainda que as explorações sejam as mesmas em todos os aplicativos, as implementações são diferentes, o que fez com que cada um deles recebesse CVEs individuais. No total, são sete falhas de severidade entre média e crítica, daquelas que exige uma atualização urgente que, como dito, deve nunca ser liberada por conta do estado de abandono dos aplicativos.

Por isso, a recomendação aos usuários é que procurem novas soluções e interrompam o uso dos aplicativos citados. O ideal é buscar soluções que estejam em desenvolvimento ativo e acumulem boas recomendações de outros usuários; se possível, vale também se certificar que, pelo menos, a transmissão dos dados é criptografada entre o smartphone e os dispositivos conectados a ele.

Fonte: Synopsys