Falha de segurança no Android permite desvio de dados sigilosos

Bug foi encontrado na biblioteca Play Core pela startup de segurança Oversecured; senhas e números de cartões de crédito de dentro dos aplicativos puderam ser acessados
Vinicius Szafran28/08/2020 18h53, atualizada em 28/08/2020 19h04

20200206080545

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Uma vulnerabilidade de segurança no Android pode ter permitido que aplicativos maliciosos desviassem dados confidenciais de outros aplicativos presentes no mesmo dispositivo.

A startup de segurança Oversecured encontrou a falha na biblioteca Play Core, amplamente usada pelo Google, que permite aos desenvolvedores enviar atualizações dentro dos aplicativos e novos módulos de recursos para seus apps Android, como novos níveis de jogo ou pacotes de idiomas.

Um aplicativo malicioso no mesmo dispositivo pode explorar essa vulnerabilidade ao injetar módulos maliciosos em outros apps que dependem da biblioteca, assim conseguindo acessar dados sigilosos dos usuários, como senhas e números de cartões de crédito de dentro dos aplicativos.

Reprodução

Bug permitia roubar dados sigilosos de outros aplicativos presentes no dispositivo. Imagem: Reprodução/Shutterstock

O fundador da Oversecured, Sergey Toshin, afirmou ao TechCrunch que explorar a falha foi “muito fácil”. A startup construiu um aplicativo de prova de conceito usando algumas linhas de código e testou a vulnerabilidade no Google Chrome para Android, que dependia de uma versão vulnerável da biblioteca Play Core.

Segundo Toshin, o app desenvolvido por sua empresa foi capaz de roubar o histórico de navegação, senhas e cookies de login das vítimas. Além disso, o bug também afetou alguns dos aplicativos mais populares da Google Play Store.

O Google reconheceu o bug, cuja avaliação em quesito de gravidade era de 8,8 (de um máximo de 10), e afirmou ter feito a correção do problema. “Agradecemos o fato de o pesquisador ter nos relatado esse problema e, como resultado, ele foi corrigido em março”, disse um porta-voz da empresa.

Para remover qualquer tipo de risco, Toshin sugere que os desenvolvedores de aplicativos devem atualizar seus apps com a versão mais recente da biblioteca Play Core.

Senado aprova LGPD

Em menos de seis horas, o Senado aprovou na quarta-feira (26) a antecipação da Lei Geral de Proteção de Dados (LGPD) (Lei nº 13.709), removendo o artigo 4º da MP 959/2020, que jogava o início da vigência da legislação para 1º de janeiro de 2021.

Além do episódio inédito na história da República brasileira, mais uma surpresa estampou a página do Diário Oficial na madrugada de quinta, quando o governo federal deu o primeiro passo para a criação da ANPD. A autoridade  deve fiscalizar e punir organizações que não protegerem adequadamente os dados pessoais dos usuários.

Via: TechCrunch

Vinicius Szafran
Colaboração para o Olhar Digital

Vinicius Szafran é colaboração para o olhar digital no Olhar Digital