Aparelhos Android ainda tem brecha

Problema está em 'atraso' na instalação de apps. Somente apps fora do Google Play são vulneráveis.

Quase metade (49,5%) de todos os smartphones com sistema operacional Android continuam vulneráveis a uma falha de segurança corrigida em março de 2014. A informação consta em um alerta publicado pela empresa de segurança Palo Alto Networks nesta terça-feira (24). O problema permite que um app “minta” sobre as permissões que outro app necessita para funcionar.

A brecha não garante mais permissões a um programa malicioso, mas impede que o usuário veja quais são as verdadeiras permissões que um app instalado necessita para funcionar. Com isso, uma vítima pode autorizar a instalação de um programa malicioso pensando que ele não terá permissões para realizar qualquer atividade indevida.

Para explorar essa vulnerabilidade, um criminoso precisa que o usuário instale um aplicativo que ele desenvolveu. O app promove um segundo aplicativo. Quando o usuário instala esse segundo aplicativo, o Android informa quais permissões ele requisita. No entanto, o aplicativo já instalado no celular modifica o programa de instalação do segundo aplicativo, permitindo que ele faça qualquer coisa, mesmo que o usuário não tenha dado a permissão.

Caso um programa malicioso já esteja instalado no celular, ele pode modificar qualquer programa de instalação para conseguir permissões maiores do que as que foram informadas ao usuário.

Fora da Google Play
Somente programas fora do Google Play estão vulneráveis a essa modificação. Apps baixadas do Google Play ficam armazenados em uma área especial do celular que não pode ser acessada por qualquer app, impedindo a modificação.

A vulnerabilidade existe por conta de um atraso entre a concessão da permissão e a instalação do programa. Ou seja, há uma “janela” entre o momento em que o usuário autoriza as permissões de um aplicativo e o momento em que o app é realmente instalado. Durante essa janela, o programa pode ser modificado e a permissão continuará valendo.

O problema foi descoberto pela Palo Alto Networks em janeiro de 2014. O Google criou uma correção em março de 2014, mas muitos aparelhos permanecem sem correção. Quando a falha está corrigida, o programa de instalação não permite que uma autorização de instalação continue valendo para um programa modificado.

A Palo Alto Networks disponibiliza um aplicativo de teste que indica se o celular está vulnerável ou não (baixe aqui)

Fake ID
Em julho de 2014, a empresa de segurança Bluebox Security identificou uma falha parecida na instalação de aplicativos do Android que permite que um aplicativo se passe por outro, podendo inclusive substituir aplicativos do sistema, que tem permissões mais altas que apps comuns. Muitos aparelhos também permanecem vulneráveis a essa brecha por falta de atualização dos fabricantes. A vulnerabilidade foi apelidada de “Fake ID”.

A Bluebox também tem um verificador (baixe aqui) que analisa se o celular está ou não vulnerável.