Pesquisadores de segurança da Bluebox revelaram uma falha de segurança preocupante no sistema Android. Eles alegam que o problema pode afetar até 99% dos dispositivos com sistema operacional do Google.
De acordo com a BlueBox, esta vulnerabilidade existe desde a versão 1.6 (Donut) do Android, e dá aos desenvolvedores de aplicativos mal-intencionados a capacidade de modificar um APK legítimo, tudo isso sem quebrar sua assinatura criptográfica – permitindo assim que ele passe desapercebido pela instalação.
Para submeter o exploit, o desenvolvedor do mal precisa primeiro enganar um usuário desavisado para instalar a atualização mal-intencionada. Os hackers podem, teoricamente, assumir o controle total do telefone de um usuário. Ele poderá realizar chamadas em nome do usuário infectado, enviar SMS e até mesmo ligar a câmera e gravar chamada. Aliás, dependendo do tipo de aplicativo escolhido, um hacker pode explorar a vulnerabilidade para qualquer coisa, desde o roubo de dados até a criação de uma botnet móvel.
A BlueBox afirma que notificou o Google a respeito do Exploit em fevereiro. O CIO da BlueBox, Jeff Forristal, alega que o Galaxy S4 é o único dispositivo Android que está imune ao ataque – o que sugere que um patch com a solução para a vulnerabilidade já possa existir. Forristal alega ainda que o Google está trabalhando em uma atualização para seus dispositivos Nexus.
Enquanto o Google não se manifesta oficialmente a respeito da vulnerabilidade, a BlueBox faz algumas recomendações para que você tente garantir a segurança de seu dispositivo móvel.
- Os usuários devem ser mais cautelosos na identificação do desenvolvedor do aplicativo que deseja baixar.
- Empresas que adotam o BYOD devem usar essa notícia para alertar todos os seus funcionários, e destacar a importância de manter seus aparelhos sempre atualizados.
- As equipes de TI devem ver essa vulnerabilidade como um indício de que é preciso ir além da simples gestão de dispositivos e concentrar-se também na integridade desses dispositivos, focando em uma verificação mais profunda e na segurança de dados corporativos.
Nenhum comentário:
Postar um comentário