Lucian Constantin
Bluebox Security alerta que invasor se aproveita de uma falha no processo de validação de apps que existe nas versões do Android anteriores ao 4.4, o KitKat
A maioria dos dispositivos Android atualmente em uso contém uma vulnerabilidade que permite a um malware sequestrar completamente todos os apps instalados e seus dados ou até mesmo todo o dispositivo. O centro do problema está na validação de certificados de assinaturas digitais de apps, disse Jeff Forristal, CTO da Bluebox Security, empresa de São Francisco que descobriu a falha.
A vulnerabilidade no processo de validação de apps, que a Bluebox batizou de Fake ID, foi informado à Google em abril, e uma correção foi disponibilizada para os fabricantes. "Depois de ter recebido a informação nós rapidamente liberamos uma correção que foi distribuída para parceiros do Android e também à AOSP", informou um representante da Google por email.
O ataque só pode sequestrar apps que usam o componente WebView do Android em versões mais antigas que a 4.4, conhecida como KitKat. Ainda assim, o ataque afeta um grande número de usuários, uma vez que segundo estatísticas da própria Google do início de julho, cerca de 88% dos dispositivos que acessam a Google Play rodam versões do Android anteriores à 4.4.
No entanto, por conta da fragmentação do ecossistema do Android, alguns dispositivos afetados podem nem estar mais sendo suportados e por isso não vão receber a correção. A Bluebox liberou uma aplicação que pode checar se um dispositivo está vulnerável a ataques do Fake ID.
O WebView é um recurso comumente usado por apps para exibir conteúdo Web usando o mecanismo do browser embutido no Android. No KitKat, o componente WebView é baseado no browser Chromium e não mais permite a injeção de código desse plug-in, explica Forristal.
Ataque indireto
Segundo Forristal, o Android contém alguns certificados já gravados previamente por vários desenvolvedores o que dá a eles acesso especial e privilégios dentro do sistema operacional sem precisar passar pelo típico processo de validação de certificados em cadeia.
Um desses certificados pertence à Adobe e dá aos apps validados por ele ou aos seus certificados o poder de injetar código em outros apps. Forristal acredita que esse processo existe para permitir que outros apps utilizem o plug-in do Adobe Flash Player.
Essa característica permite a um invasor validar uma app maliciosa com um certificado que parece ter sido validado pelo código pré-gravado da Adobe, mas que na verdade não o foi. E enquanto o certificado da Adobe estiver presente na cadeia de certificados do app, o sistema vai aceitar código liberado por aquele app e injetar em outros apps, explica Forristal.
O código intruso passa a fazer parte dos outros aplicativos herdando suas permissões de sistema. Ele passa a ter acesso a todos os dados armazenados pelos aplicativos, pode ver o tráfego da rede e pode executar todas as ações que os aplicativos estão autorizados a fazer no dispositivo. "É muito, muito fácil para um malware usar esse ataque - ele é silencioso, transparente e não emite notificações para os usuários", diz Forristal
Outros pontos de entrada
Abusar do certificado da Adobe também não é o único ponto de entrada do ataque, na medida em que dois outros certificados pré-gravados no Android também dão acesso especial aos aplicativos.
Um deles é uma tecnologia de gestão de dispositivos móveis desenvolvida pela empresa 3LM que foi comprada pela Motorola Mobility em 2011, antes de ser adquirida pela Google. As extensões do software da 3LM estão incluídas em vários dispositivos que foram fabricados por Sony, HTC, Motorola, Samsung, LG e alguns outros fabricantes menores, diz Forristal.
Outro certificado é usado pelo Google Wallet e dá acesso ao elemento de segurança de hardware do NFC (near-field communication) que é usado para armazenar informações sensíveis como números de cartão de crédito durante o processo de pagamento.
Os pesquisadores da Bluebox não tiveram tempo de analisar o impacto desse vetor de ataque em detalhes, mas sua mera existência praticamente viola o modelo de segurança do Android para o sistema de segurança do NFC, diz Forristal.
"A Google Play e a Verify Apps também foram corrigidas para proteger os usuários desse problema. Já verificamos todas as aplicações submetidas à Google Play e também aquelas revisadas pela Google que estão fora da Google Play e não identificamos evidência de exploração da vulnerabilidade", diz o comunicado da Google A Motorola liberou updates com a correção para alguns dispositivos e mais fabricantes vão fazer a mesma coisa nas próximas semanas, diz Forristal.
Forristal planeja discutir a vulnerabilidade com mais detalhes durante uma apresentação na conferência de segurança Black Hat na próxima semana, em Las Vegas.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário