Nenhum celular Android está seguro. Pesquisadores descobriram uma vulnerabilidade que afeta todas as versões do sistema operacional até a mais recente, com a numeração 7.1.2, e permite que um cibercriminoso roube informações do usuário discretamente, mascarando-se de forma eficaz atrás de elementos de interface do Android.
Os pesquisadores do Instituto de Tecnologia da Geórgia alertaram que a falha é gravíssima e permite controle total do aparelho. “O ataque permite o clickjacking [“furto de cliques”, quando o usuário toca em algo, mas acaba realizando uma ação maliciosa sem saber], gravação do teclado, phishing, a instalação de um aplicativo ‘modo deus’, com todas as permissões habilitadas, permitindo o desbloqueio silencioso do celular e a realização de ações arbitrárias com a tela desligada.” Ou seja: todas as portas estão abertas.
A falha, batizada de “Cloak and Dagger”, foi descoberta em agosto do ano passado, mas só agora foi publicada e ainda não está corrigida. Ela se baseia em dois recursos de interface do Android que permitem exibir elementos interativos sobre aplicativos reais. O exemplo abaixo mostra o problema, permitindo criar uma cópia fiel da tela de autenticação, com e-mail e senha, do Facebook que se sobrepõe aos elementos da interface do app verdadeiro da rede social. Assim, é possível desviar as informações de login e senha. Se o app for fechado antes de a senha ser digitada, é possível ver os campos falsos flutuando sobre a interface.
Em outro caso detectado, é possível incluir um elemento transparente por cima do teclado do Android, de modo que cada toque é devidamente capturado e transmitido para o cibercriminoso.
A solução neste momento passa por configurar o Android para que esse tipo de ação não seja possível. Isso pode ser feito nas novas versões do sistema entrando em “Configurações” > “Aplicativos” > ícone de engrenagem, ou o de três pontinhos, no canto superior direito > “Configurações” > “Acesso especial” > “Sobrepor a outros aplicativos” e removendo permissões de quem não deve ter a liberdade de ficar por cima de outros apps.
A boa notícia é que o Google já está ciente da situação. A empresa informa que atualizou o Google Play Protect, seu serviço de segurança embutido em todos os celulares equipados com o Google Play, para impedir que aplicativos maliciosos que façam uso do “Cloak and Dagger” sejam instalados. Além disso, o Google informa que o Android O também já chegará imune a este tipo de ataque.