De acordo com membros do Project Zero , uma equipe do Google encarregada de encontrar bugs ‘dia zero’ (ainda sem correção) que podem ser explorados no Android , uma nova vunerabilidade que está sendo usada por hackers permite assumir controle completo de smartphones de vários modelos e fabricantes.
Em um comentário na ferramenta de acompanhamento de bugs do projeto, a pesquisadora Maddie Stone informa que a vulnerabilidade foi vendida e está sendo usada pelo NSO Group, uma firma israelense de cyber-inteligência que oficialmente “fornece a governos tecnologias que os ajudam a combater o crime”.
Leia também: Cuidado! GIF malicioso pode invadir seu WhatsApp; saiba como se proteger
Entretanto, a empresa ficou mais conhecida em 2016 como autora do Pegasus, uma ferramenta capaz de “rootear” automaticamente um iPhone e interceptar mensagens enviadas através do iMessage, GMail, Viber, Facebook, WhatsApp, Telegram e Skype, bem como coletar senhas de redes Wi-Fi . Há indicações de que a ferramenta foi usada contra defensores dos direitos humanos nos Emirados Árabes e contra ativistas no México.
Você viu?
Segundo Stone, “o bug é uma vulnerabilidade de escalada de privilégios local que permite controle total sobre um aparelho vulnerável”. Ele pode ser explorado tanto por um app malicioso , instalado pela vítima no aparelho, como automaticamente via Web , se combinado a um bug em um navegador que possibilite a execução de código remoto.
Leia também: Dados pessoais de todos os equatorianos vazam online
A lista de aparelhos vulneráveis inclui, mas não é limitada a:
- Pixel 1 e Pixel 1 XL
- Pixel 2 e Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
- Smartphones LG com Oreo (Android 8.0)
- Samsung Galaxy S7, S8 e S9
Segundo o site Ars Technica , de acordo com o Google “a falha é considerada de alta severidade e não afeta o Pixel 3 e 3a. Os Pixel 1 e 2 receberão uma correção com o pacote de atualizações de segurança de Outubro, que deve ser lançado nos próximos dias. Além disso, um patch foi disponibilizado a nossos parceiros para garantir que o ecosistema Android esteja protegido contra este problema”.
Leia também: Briga! Apple acusa Google de criar pânico ao divulgar falha no iOS; entenda
Em declaração ao site, o NSO Group nega envolvimento no uso da falha : “a NSO nunca vendeu e nunca venderá exploits ou vulnerabilidades . Este exploit não tem nada a ver com a NSO. Nosso trabalho é focado no desenvolvimento de produtos projetados para ajudar agências de inteligência e segurança licenciadas a salvar vidas”.