Um grupo de pesquisadores do Bluebox Labs descobriu uma vulnerabilidade bem grave no sistema operacional Android. Trata-se de uma falha que está sendo chamada de Fake ID e que permite que usuários mal-intencionados se aproveitem de um bug no sistema de assinaturas criptográficas de aplicativos, conseguindo assim burlar certificados dentro dos aparelhos. E o pior: segundo os pesquisadores, isso pode afetar até 82,1% dos consumidores de Android.
Isso acontece porque essa é a quantidade de pessoas que utiliza o sistema operacional entre as versões 2.2 e 4.4 — as que podem ser afetadas pela vulnerabilidade. Mas como exatamente isso pode nos afetar? O Fake ID permite que certificados falsos possam ser identificados como verdadeiros pelos verificadores internos, graças ao número limitado de checagens que são feitas pelo Android. Ou seja: é como se um adolescente tentasse entrar na balada com a identidade de outra pessoa e o segurança não olhasse direito para o documento.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Nas demonstrações da falha, o Bluebox Labs utilizou certificados da Adobe para validar aplicativos maliciosos — não criados pela mesma empresa, é claro — em verificadores originais do sistema operacional. Isso se mostrou ainda mais grave quando os pesquisadores mostraram que a ameaça é capaz até mesmo de abusar dos verificadores de certificados NFC para ter acesso indiscriminado ao Google Wallet — o que pode resultar em perdas financeiras.
Segundo o The Guardian, a Google já lançou atualizações de correção para as empresas parceiras do Android e do Android Open Source Project, mas ainda não é possível dizer quantos consumidores foram beneficiados por ela até o momento. Em suma, é importante saber que a vulnerabilidade ainda está ativa e que ela pode afetar usuários do Android 2.2 ao 4.4.
A resposta da Google
"O Google reconhece a maneira responsável como a Bluebox reportou para nós essa vulnerabilidade. Pesquisas independentes são importantes para que o Android se torna cada vez mais seguro para os usuários. Após recebermos o aviso da vulnerabilidade, rapidamente distribuímos uma atualização para nossos parceiros e também para os desenvolvedores do Android Open Source Project. A loja Google Play e a função de Verificação de Aplicativos também foram aprimorados para proteger os usuários desse problema. Todas os apps submetidos ao Google Play foram analisados e não encontramos evidências de tentativas para explorar essa vulnerabilidade."
Fontes
Categorias