Uma vulnerabilidade de segurança no Android
pode ter permitido que aplicativos maliciosos desviassem dados
confidenciais de outros aplicativos
presentes no mesmo dispositivo.
A startup de segurança Oversecured encontrou a falha na biblioteca Play Core, amplamente usada pelo Google
, que permite aos desenvolvedores enviar atualizações dentro dos aplicativos e novos módulos de recursos para seus apps Android
, como novos níveis de jogo ou pacotes de idiomas.
Um aplicativo malicioso no mesmo dispositivo pode explorar essa vulnerabilidade ao injetar módulos maliciosos em outros apps que dependem da biblioteca, assim conseguindo acessar dados sigilosos dos usuários, como senhas e números de cartões de crédito de dentro dos aplicativos.
Você viu?
O fundador da Oversecured, Sergey Toshin, afirmou ao TechCrunch que explorar a falha foi "muito fácil". A startup construiu um aplicativo de prova de conceito usando algumas linhas de código e testou a vulnerabilidade no Google Chrome para Android , que dependia de uma versão vulnerável da biblioteca Play Core.
Segundo Toshin, o app desenvolvido por sua empresa foi capaz de roubar o histórico de navegação, senhas e cookies de login das vítimas. Além disso, o bug também afetou alguns dos aplicativos mais populares da Google Play Store.
O Google reconheceu o bug, cuja avaliação em quesito de gravidade era de 8,8 (de um máximo de 10), e afirmou ter feito a correção do problema. "Agradecemos o fato de o pesquisador ter nos relatado esse problema e, como resultado, ele foi corrigido em março", disse um porta-voz da empresa.
Para remover qualquer tipo de risco, Toshin sugere que os desenvolvedores de aplicativos devem atualizar seus apps com a versão mais recente da biblioteca Play Core.