sábado, 20 de julho de 2013

Android: Falha de segurança permite modificar apps sem o dono saber

A vulnerabilidade agora descoberta permite a um atacante obter controlo total de um smartphone Android.


De acordo com o Ars Technica, um grupo de investigadores diz ter descoberto uma nova vulnerabilidade no Android que permite a um atacante controlar totalmente um smartphone que corra o sistema operativo da Google.

A falha está relacionada com a assinatura criptográfica das apps Android que assegura que não foram modificadas por terceiros. Segundo um blogue de investigadores da Bluebox, a falha existe desde a versão 1.6 do Android, pelo que tem quase quatro anos.
Os hackers podem explorar esta vulnerabilidade para modificar o código da app de modo a incluir backdoors, keyloggers ou outras funcionalidades maliciosas sem modificar a assinatura de verificação. É um problema especialmente grave se as apps afetadas forem as do fabricante do terminal, que costumam ter mais privilégios que o normal.
Os investigadores da Bluebox dizem que, nestes casos, as apps modificadas podem aceder a toda a informação contida no smartphone mas também tomar conta do normal funcionamento do telefone e controlar todo o tipo de funcionalidades, desde fazer chamadas a enviar SMS.
Os investigadores dizem que contactaram a Google em fevereiro relativamente a esta falha.