Falha no Android deixa 99% dos dispositivos vulneráveis

Uma vulnerabilidade crítica que afeta aproximadamente 99% dos dispositivos Android em operação atualmente pode permitir que versões Trojan de aplicativos ataquem esses devices.

?Esta vulnerabilidade possibilita a alteração de códigos de aplicações sem afetar a assinatura criptográfica da aplicação ? permitindo, essencialmente, um agente maligno ‘enganar o Android’, que não dará notificações de que o aplicativo sofreu modificações?, afirma Jeff Forristal, CTO de segurança da informação da empresa de pesquisa Bluebox Labs. Utilizando essa técnica, o malware tem acesso total a qualquer dado ou aplicação do dispositivo, permitindo inclusive o envio de mensagens através das contas do Facebook e do Twitter dos usuários.

A vulnerabilidade foi descoberta pela Bluebox e comunicada ao Google em fevereiro, bem antes da falha se tornar pública, na semana passada. ?O problema, existente desde o lançamento do Android 1.6, pode afetar qualquer dispositivo com o sistema operacional fabricado nos últimos quatro anos, totalizando 900 milhões de aparelhos. Dependendo do tipo de aplicação, o hacker pode explorar essa fragilidade roubando dados ou criando botnets móveis?, explica.

Chamada de ?Android bug security bug 8219321?, a falha permite inserir códigos maliciosos em aplicativos legítimos. A técnica tem sido usada há tempos por hackers para disfarçar aplicativos trojans, apenas modificando previamente a aplicação e o nome do publicador, de acordo com declarações da Symantec Security Response. Dessa maneira, a Symantec afirma que é extremamente simples para um hacker disfarçar um malware como aplicativo original.

A boa notícia, afirma a Symantec, é que após analisar quatro milhões de aplicações Android, nenhum hacker se aproveitou da vulnerabilidade para criar aplicações maliciosas. A empresa de segurança descobriu o que parece ser um uso involuntário da técnica por alguns aplicativos. ?Esses aplicativos são construídos com ferramentas populares que podem ter um bug originando um APK (Android) com falhas?, relatou a Symantec.

O Forristal Threatpost informou que o Google tinha planejado originalmente emitir um pacote de atualização por meio do Projeto de Código Aberto Android e liberar correções de firmware para os dispositivos da marca Nexus em junho. No entanto, o site afirma que o lançamento deve ser adiado para agosto.

A dúvida que fica é se os usuários terão que esperar meses para terem um pacote de atualização disponibilizado pelos fabricantes de celulares. Um relatório produzido pelo Android Police mostra que todos os Samsung Galaxy S4 e HTC One rodando Android 4.2.2 ou versões superiores possuem um patch contra a vulnerabilidade relacionado à chave mestra. Mesmo assim, o levantamento aponta que muitos dispositivos, como a maioria dos aparelhos HTC One, estão rodando o Android 4.1.2 e continuam, portanto, vulneráveis.