Dois bugs e inumeros aplicativos infectados arruina a semana em Android
Os desenvolvedores da Google, antes e após o lançamento da nova versão do Android, estão sempre trabalhando em questões de segurança de seu sistema operacional móvel, e até os últimos patches de segurança não foram excepção.
Entre os muitos bugs descobertos, havia dois em particular que os atacantes poderiam explorar nos dispositivos dos usuários. A primeira falha, criada para “fins de investigação”, se tornaria prejudicial somente se modificada, e ainda teria sido difícil de detectar por hackers. A segunda, no entanto, é semelhante ao conhecido malware Stagefright, e era mais fácil de pôr em prática, porque seria o suficiente para enviar uma imagem JPEG via Gmail ou o Google Talk para infectar o dispositivo, e provavelmente teria achado fácil de espalhar.
A primeira vulnerabilidade foi divulgada por Mark Brand, colaborador da equipe de segurança do Project Zero, da Google. Listado como CVE 2016-3861 o bug permite a hackers executar malware ou adquirir privilégios locais em smartphones vulneráveis. Além dessas grandes mudanças, a Google tem removido da Play Store dois aplicativos malware, CallJam e DressCode, que roubaram crédito para usuários desavisados chamando números de telefone e também foram capazes de comprometer as redes locais.
Brand adverte que é “um erro sério” porque pode ser explorado numa variedade de maneiras. Ele também disse que CVE 2016-3861 não é particularmente difícil de detectar, isto sugere que outros pesquisadores já estavam cientes disso. Brand não disse exatamente qual versão do Android são vulneráveis, mas confirmou que o bug é definitivamente nas últimas smartphones (porque ele veio com o patch de segurança de setembro).
As vulnerabilidades foram divulgadas na mesma semana em que a empresa de segurança Checkpoint revelou que os aplicativos infectados, disponíveis desde Abril, tinham sido baixadas mais de 2,5 milhões de vezes a partir da Play Store. A família de malware DressCode parece ter sido usada para gerar cliques fraudulentos em anúncios de apps que permitem aos atacantes violar a recuperar redes de arquivos confidenciais.