Vídeo: FALHA É FUNDAMENTAL PARTE 2 | Dica #151 (Outubro 2024)
Uma das melhores coisas dos sistemas operacionais móveis é o sandbox. Essa técnica compartimenta aplicativos, impedindo que aplicativos arriscados (ou qualquer outro aplicativo) controlem livremente o seu Android. Mas uma nova vulnerabilidade pode significar que a caixa de areia do Android não é tão forte quanto pensávamos.
O que é isso?
Na Black Hat, Jeff Forristal demonstrou como uma falha na maneira como o Android lida com certificados poderia ser usada para escapar da caixa de areia. Pode até ser usado para dar aos aplicativos maliciosos níveis mais altos de privilégios, tudo sem dar às vítimas uma pista do que está acontecendo no telefone. Forristal disse que essa vulnerabilidade pode ser usada para roubar dados, senhas e até assumir o controle total de vários aplicativos.
No centro da questão estão os certificados, que são basicamente pequenos documentos criptográficos que visam garantir que um aplicativo seja o que ele afirma ser. A Forristal explicou que é exatamente a mesma tecnologia usada pelos sites para garantir a autenticidade. Mas o Android, ao que parece, não examina os relacionamentos criptográficos entre os certificados. Essa falha, disse Forristal, é "bastante fundamental para o sistema de segurança do Android".
O que faz
Em sua demonstração, Forristal usou uma atualização falsa dos Serviços do Google que continha código malicioso usando uma das vulnerabilidades do Fake ID. O aplicativo foi entregue juntamente com um e-mail de engenharia social em que o invasor se apresenta como parte do departamento de TI da vítima. Quando a vítima vai instalar o aplicativo, ele vê que o aplicativo não requer nenhuma permissão e parece legítimo. O Android realiza a instalação e tudo parece estar bem.
Mas, em segundo plano, o aplicativo da Forristal usou uma vulnerabilidade de ID falso para injetar automaticamente e imediatamente código malicioso em outros aplicativos do dispositivo. Especificamente, um certificado da Adobe para atualizar o Flash cujas informações foram codificadas no Android. Em segundos, ele controlava cinco aplicativos no dispositivo - alguns dos quais tinham acesso profundo ao dispositivo da vítima.
Não é a primeira vez que o Forristal mexe com o Android. Em 2013, Forristal surpreendeu a comunidade Android quando lançou a chamada exploração da chave mestra. Essa vulnerabilidade generalizada significava que aplicativos falsos poderiam ser disfarçados de legítimos, potencialmente dando a aplicativos maliciosos um passe livre.
Verificar ID
A apresentação de Forristal não apenas nos deu as notícias reveladoras sobre o Android, mas também nos deu uma ferramenta para proteger nossos próprios problemas. A Forristal lançou uma ferramenta de verificação gratuita para detectar esta vulnerabilidade. Obviamente, isso ainda significa que as pessoas terão que impedir que malwares entrem em seus telefones.
O bug também foi relatado ao Google, e os patches estão aparecendo em diferentes níveis.
Mais importante, todo o ataque depende da vítima que está instalando o aplicativo. É verdade que ele não tem a bandeira vermelha de pedir muitas permissões, mas Forristal disse que se os usuários evitarem aplicativos de "lugares obscuros" (leia-se: fora do Google Play), eles estarão seguros. Pelo menos por enquanto.
