Falhas em aplicativos pré-instalados expõem milhões de dispositivos Android a hackers
Comprou um novo telefone Android? E se eu disser que seu novo smartphone pode ser invadido remotamente?
Quase todos os telefones Android vêm com aplicativos inúteis pré-instalados por fabricantes ou operadoras, geralmente chamados de bloatware, e não há nada que você possa fazer se algum deles tiver um backdoor embutido – mesmo que você tenha o cuidado de evitar aplicativos incompletos.
Isso é exatamente o que os pesquisadores de segurança da empresa de segurança móvel Kryptowire demonstraram na conferência de segurança DEF CON, na sexta-feira.
Pesquisadores divulgaram detalhes de 47 vulnerabilidades diferentes dentro do firmware e aplicativos padrão (pré-instalados e principalmente não removíveis) de 25 aparelhos Android que podem permitir que hackers espionem usuários e redefina seus dispositivos, colocando milhões de dispositivos Android em risco.
Pelo menos 11 desses smartphones vulneráveis são fabricados por empresas como Asus, ZTE, LG e Essential Phone, e são distribuídos por operadoras americanas como a Verizon e a AT & T.
Outras grandes marcas de celulares Android , tais como Vivo, Sony, Nokia e Oppo, e outros fabricantes menores, como Sky, Leagoo, Plum, Orbic, MXQ, Doogee, Coolpad e Alcatel, também estão incluídas nas falhas.
Algumas vulnerabilidades descobertas pelos pesquisadores podem até mesmo permitir que hackers executem comandos arbitrários como o usuário do sistema, limpar todos os dados do usuário de um dispositivo, bloquear usuários de seus dispositivos, acessar o microfone do dispositivo e outras funções, acessar todos os seus dados, incluindo seus e-mails e mensagens , ler e modificar mensagens de texto, enviar mensagens de texto e muito mais, tudo sem o conhecimento dos usuários.
“Todas essas vulnerabilidades são pré-instaladas. Eles aparecem logo que você tira o telefone da caixa”, disse o CEO da Kryptowire, Angelos Stavrou, em um comunicado. “Isso é importante porque os consumidores acham que estão expostos apenas se baixarem algo malicioso”.
Por exemplo, as vulnerabilidades no Asus ZenFone V Live podem permitir a aquisição de todo o sistema, permitindo que os invasores façam capturas de tela e gravem a tela do usuário, façam chamadas telefônicas, espionem mensagens de texto e muito mais.
A Kryptowire, cuja pesquisa foi financiada pelo Departamento de Segurança Interna dos Estados Unidos, explicou que essas vulnerabilidades derivam da natureza aberta do sistema operacional do Android, que permite que terceiros como fabricantes de dispositivos e operadoras modifiquem o código e criem versões completamente diferentes do Android.
A Kryptowire é a mesma empresa de segurança que, no final de 2016, descobriu um backdoor pré-instalado em mais de 700 milhões de smartphones Android que permitiam o envio de todas as mensagens de texto, registro de chamadas, lista de contatos, histórico de localização e dados de aplicativos à China a cada 72 horas.
A Kryptowire reportou de forma responsável as vulnerabilidades ao Google e aos respetivos parceiros Android afetados, alguns dos quais corrigiram os problemas, enquanto outros ainda estão trabalhando para resolver estes problemas com um patch.
No entanto, deve-se notar que, como o próprio sistema operacional Android não é vulnerável a nenhum dos problemas divulgados, o Google não pode fazer muito a respeito, já que não tem controle sobre os aplicativos pré-instalados por fabricantes e operadoras.
Fonte: The Hacker News.