quarta-feira, 30 de julho de 2014

Descoberto outro bug no Android que deixa milhões vulneráveis

Um novo bug que afecta o Android foi agora descoberto. O maior problema desta vez é que afecta todos os utilizadores deste sistema operativo desde a versão 2.2 até à 4.4, o que cobre mais de 80% dos utilizadores.
O Fake ID, nome pela qual é conhecido este bug, tem a capacidade de ser explorado por aplicações maliciosas para obter dados dos utilizadores, ler emails e aceder a dados sensíveis dos utilizadores.
android_bug_1

O mais recente bug do Android foi descoberto pela equipa de investigadores Bluebox Security e está presente numa grande variedade de versões do Android, tendo a Google já enviado para os seus parceiros uma actualização para corrigir este problema.
O problema está localizado na forma como o Android valida os certificados de criptografia que acompanham as aplicações. O Android não valida a cadeia de certificados e confia na aplicação, dando-lhes acesso a zonas normalmente interditas, fora da sandbox.
Ao dar essa permissão especial, acaba por dar acesso a zonas sensíveis dos dados do utilizador, permitindo depois que esses mesmos dados sejam retirados enviados para fora dos dispositivos.
Por definição do Android, apenas algumas aplicações bem conhecidas e bem definidas podem ter acesso a estas permissões especiais para funcionarem fora da sandbox, mas com recurso ao Fake ID qualquer aplicação mal intencionada pode ter esse acesso.
A solução que para já foi aplicada na versão 4.4 do Android ainda não resolve o problema de forma permanente, mas garante uma grau de segurança maior. Na verdade o problema está presente até na mais recente versão L do Android.
android_bug_2
Em comunicado a Google reconheceu este problema e garantiu que já enviou para os seus parceiros uma solução e que activou mecanismo adicionais para detectar aplicações na Play Store que explorem este bug.
We appreciate Bluebox responsibly reporting this vulnerability to us; third-party research is one of the ways Android is made stronger for users.
After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue.
At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play, and we have seen no evidence of attempted exploitation of this vulnerability.
Não foi no entanto especificada qual a solução aplicada e nem se qualquer um dos seus parceiros a aplicou nos seus dispositivos.
A importância deste bug é maior que o habitual pois afecta cerca de 80% dos dispositivos qe estão equipados com este sistema operativo. Este elevado número resulta do facto de estar presente em versões muito antigas do mesmo, desde a 2.2, mas que ainda estão em utilização.
E como é normal no Android, a maioria dos fabricantes não disponibiliza actualizações para estes dispositivos, por variadas razões.