Samsung corrige brecha que permite instalação de apps sem autorização

A Samsung corrigiu duas falhas de segurança na Galaxy Store, a loja de aplicativos oficial para os celulares da marca. As brechas, descobertas em dezembro, permitiam que um atacante com acesso local ao dispositivo instalasse softwares no aparelho sem autorização do usuário, podendo levar a contaminações com malware e redirecionamento a páginas fraudulentas na internet.

• 6 aplicativos para checar o que há de errado no seu celular
• Novo vírus para Android deixa criminosos usarem seu celular à distância

A correção veio no dia 1º de janeiro para as vulnerabilidades CVE-2023-21433 e CVE-2023-21434, com prova de conceito liberada apenas agora pela empresa de segurança digital NCC. A primeira brecha estava no controle de acesso, permitindo a efetiva instalação das aplicações, enquanto a segunda permitia a execução de códigos JavaScript, a partir de problemas na validação, que possibilitavam a geração de comandos que levavam à exploração.

Na somatória das duas brechas, era gerada uma situação em que ordens arbitrárias de instalação poderiam ser dadas aos celulares — na prova de conceito, os pesquisadores do Grupo NCC usaram a vulnerabilidade para instalar o game Pokémon GO. Ele, em si, não representa risco, mas o mesmo não poderia ser dito em usos maliciosos envolvendo softwares perigosos disponíveis na Galaxy Store.

Uma segunda brecha estava no navegador embutido no marketplace. Ele até possui um filtro para limitar os domínios exibidos ao usuário, mas essa proteção pode ser facilmente ultrapassada para mostrar conteúdo malicioso, bastando a presença de uma tag específica da Samsung em um domínio. A partir daí, páginas falsas abertas no Chrome ou enviadas por mensagem, por exemplo, são executadas no browser interno e levavam a novos golpes ou instalação de malware.

Os especialistas apontam que o acesso local a um smartphone não é o mais desejável em uma campanha massiva de disseminação de malware, mas o mesmo não pode ser dito de golpes direcionados contra executivos, políticos e outras personalidades. Brechas de privacidade, roubo de dados e mau uso do poder de processamento do celular estão entre os principais resultados de ataques desse tipo.

De acordo com o Grupo NCC, aparelhos com o sistema operacional Android 13 não eram suscetíveis à primeira vulnerabilidade, o que torna toda a cadeia de exploração inútil. Entretanto, na outra ponta, aparelhos mais antigos e rodando versões mais antigas da Galaxy Store podem nem mesmo receber as atualizações liberadas no início de janeiro pela Samsung, permanecendo em risco.

Não há recomendação de segurança aqui, além da instalação de atualizações para o marketplace oficial se estiverem disponíveis. A atenção a apps instalados ou comportamento irregular do aparelho, como consumo de rede e bateria acima do normal, também podem ser indicadores de comprometimento através da cadeia de exploração revelada agora.

Fonte: Grupo NCC