A vulnerabilidade do Android permite que aplicativos façam chamadas não autorizadas sem permissões
Uma grande vulnerabilidade que se acredita estar presente na maioria das versões do Android pode permitir que aplicativos Android mal-intencionados na loja de aplicativos do Android façam chamadas telefônicas no dispositivo de um usuário, mesmo quando não tiverem as permissões necessárias.
A vulnerabilidade crítica foi identificada e reportada ao Google no final do ano passado por pesquisadores da empresa alemã de segurança Curesec. Os pesquisadores acreditam que o vírus foi notado pela primeira vez no Android versão 4.1, também conhecido como " Jelly Bean ".
APPS PODEM FAZER CHAMADAS DO TELEFONE
“ Esse bug pode ser abusado por um aplicativo malicioso. Pegue um jogo simples que vem com este código. O jogo não lhe pedirá permissões extras para fazer uma ligação para um número de ligação - mas é capaz de fazê-lo ”, disse o CEO da Curesec, Marco Lux, e o pesquisador Pedro Umbelino, em um post no blog. “ Isso normalmente não é possível sem dar ao aplicativo essa permissão especial. "
Ao aproveitar essas vulnerabilidades, aplicativos maliciosos poderiam iniciar chamadas telefônicas não autorizadas, interromper chamadas em andamento, discar para serviços de pedágio caros, potencialmente enquadrar grandes cargas nas contas de telefone dos usuários desavisados.
Bug Android permite que usuários não autorizados para encerrar chamadas de saída e enviar USSD
A vulnerabilidade também pode ser explorada para desconectar as chamadas de saída, enviar e executar:
- Dados de Serviço Suplementar Não Estruturado (USSD)
- Serviço Suplementar (SS)
- Códigos MMI (interface homem-máquina) definidos pelo fabricante.
Esses códigos especiais podem ser usados para acessar várias funções do dispositivo ou serviços do operador, o que torna o problema desagradável para aqueles que valorizam os dados que armazenam em seus telefones celulares.
Mesmo os programas de segurança do Android, onde aplicativos sem a permissão CALL_PHONE não podem iniciar chamadas telefônicas, podem ser facilmente contornados e não oferecem proteção contra essas falhas, porque os exploits têm capacidade de enganar completamente o sistema de permissões do Android.
" Como o aplicativo não tem permissão, mas está abusando de um bug, esses aplicativos não podem protegê-lo facilmente sem o conhecimento de que esse bug existe em outra classe no sistema ", escreveram os pesquisadores.
Um grande número de versões do Android são afetadas pelas vulnerabilidades. Pesquisadores descobriram duas falhas diferentes que podem ser exploradas para alcançar os mesmos fins - uma que está presente em versões mais recentes do Android e outra que é encontrada em versões mais antigas.
PRIMEIRO ERRO - AFETA A VERSÃO MAIS RECENTE DO ANDROID
O primeiro bug de segurança, identificado como CVE-2013-6272 , parece ter sido introduzido no Android versão 4.1.1 Jelly Bean, e durou até 4.4.2 KitKat antes que a equipe de segurança do Google pudesse consertá-lo no Android 4.4 .4.
Mas, felizmente, apenas 14% dos usuários estão atualmente atualizados para a versão mais recente do sistema operacional móvel. Então, basta pensar sobre isso, quantos usuários estão atualmente no aperto das falhas? Não menos do que usuários generosos abrem para vulnerabilidades e caminhos de ataque.
SEGUNDO ERRO - AFETA A VERSÃO ANTIGA DO ANDROID
O segundo buraco de segurança é mais amplo, afetando tanto o Android 2.3.3 quanto o 2.3.6, as versões populares da variante Gingerbread, que são usadas por smartphones low-end, smartphones que continuam a crescer em popularidade entre os mercados emergentes. aqueles encontrados no Brasil, China e Rússia.
O bug foi corrigido no Android 3.0 Honeycomb, mas foi um lançamento somente para tablets que não está mais nos gráficos das estatísticas do Android do Google. Isso significa que os bugs deixam quase 90% dos usuários do Android executando versões vulneráveis do sistema operacional para manipular a vulnerabilidade.
Pesquisadores da Curesec forneceram código fonte e um aplicativo de demonstração de prova de conceito para ambos os bugs, para que os clientes possam se ajudar a testar se seus dispositivos Android são vulneráveis ou não.
É altamente recomendado que os usuários do Android que estão executando o KitKat em seus dispositivos sejam atualizados para a versão mais recente 4.4.4 o mais rápido possível. Espera-se que os fabricantes de dispositivos e operadoras em breve lançem as atualizações nas próximas semanas.