PT-BR
Linha direta de serviço
Os desenvolvedores poderiam inserir anúncios pop-up irritantes ou ataques de phishing em aplicativos móveis por meio de uma falha de design no Android, de acordo com pesquisadores.
LAS VEGAS – Pesquisadores descobriram o que dizem ser uma falha de projeto no Android que pode ser usada por criminosos para roubar dados por meio de phishing ou por anunciantes para exibir anúncios pop-up irritantes nos telefones.
Os desenvolvedores podem criar aplicativos que parecem ser inócuos, mas que podem exibir uma página falsa de login de aplicativo bancário, por exemplo, quando o usuário estiver usando o aplicativo bancário legítimo, disse Nicholas Percoco, vice-presidente sênior e chefe do SpiderLabs da Trustwave, antes de sua apresentação sobre a pesquisa na conferência de hackers DefCon hoje.
Atualmente, os aplicativos que desejam se comunicar com o usuário enquanto um aplicativo diferente está sendo visualizado apenas enviam um alerta para a barra de notificação na parte superior da tela. Mas há uma interface de programação de aplicativos no Kit de Desenvolvimento de Software do Android que pode ser usada para colocar um determinado aplicativo em primeiro plano, disse ele.
“O Android permite que você substitua o padrão para (pressionar) os botões de voltar”, disse Sean Schulte, desenvolvedor de SSL (Secure Sockets Layer) da Trustwave.
“Por causa disso, o aplicativo consegue roubar o foco e você não consegue pressionar o botão Voltar para sair”, disse Percoco, acrescentando que o problema foi batizado de Vulnerabilidade de Roubo de Foco.
Os pesquisadores criaram uma ferramenta de prova de conceito que é um jogo, mas também aciona exibições falsas para o Facebook, Amazon, Google Voice e o cliente de e-mail do Google. A ferramenta se instala como parte de uma carga útil dentro de um aplicativo legítimo e se registra como um serviço para que volte a funcionar depois que o telefone for reiniciado, disse Percoco.
Em uma demonstração que mostra um usuário abrindo o aplicativo e vendo a tela de login do Facebook, a única indicação de que algo estranho aconteceu é um piscar de tela tão rápido que muitos usuários não perceberiam. A tela falsa substitui completamente a tela legítima, de modo que o usuário não conseguiria perceber que algo está fora do lugar.
Com essa falha de design, os desenvolvedores de jogos ou aplicativos podem criar anúncios pop-up direcionados, disse Percoco. Os anúncios podem ser apenas irritantes, como a maioria dos pop-ups, mas também podem ser direcionados para exibir um anúncio quando o aplicativo de um concorrente estiver sendo usado, acrescentou.
“Portanto, todo o mundo de anúncios que lutam entre si na tela agora é possível”, disse Percoco, que, juntamente com Christian Papathanasiou, demonstrou um rootkit para Android na DefCon do ano passado.
A funcionalidade não levantaria nenhum sinal de alerta nas permissões exibidas quando o usuário faz o download do aplicativo, pois é uma função legítima para os aplicativos verificarem o estado do telefone no que é chamado de Serviço de Atividade, de acordo com Schulte.
Percoco disse que os pesquisadores conversaram com alguém do Google sobre suas descobertas há algumas semanas e que a pessoa reconheceu que havia um problema e disse que a empresa estava tentando descobrir como resolvê-lo sem interromper qualquer funcionalidade de aplicativos legítimos que pudessem estar usando-o.
Quando contatado para comentar o assunto, um representante do Google disse que iria analisar a questão.
Atualização em 8 de agosto de 2011 às 15h50 (horário de Brasília) Um porta-voz do Google forneceu esta declaração: “Alternar entre aplicativos é um recurso desejado, usado por muitos aplicativos para incentivar uma interação rica entre eles. Não vimos nenhum aplicativo usando maliciosamente essa técnica no Android Market e removeremos qualquer aplicativo que o faça.”
O porta-voz do Google também indicou à CNET o AppLock da Visidon como um exemplo de como essa funcionalidade é usada. O aplicativo usa a tecnologia de reconhecimento facial para impedir o acesso não autorizado a partes do seu telefone, como o aplicativo do Gmail. O uso legítimo da funcionalidade descrita na vulnerabilidade deste exemplo deslizaria a interface de solicitação de senha do AppLock sobre a do Gmail quando você tocasse nela. Como o AppLock usa seu rosto como senha, ele deslizaria, permitiria que seu rosto fosse reconhecido como a senha aprovada e, em seguida, deslizaria para fora.
Atualização em 8 de agosto de 2011, às 19h40 (horário de Brasília) A resposta de Percoco à declaração do Google: “A troca de aplicativos não é o problema. O verdadeiro problema é a capacidade de outros aplicativos identificarem qual aplicativo está em primeiro plano e decidirem entrar na frente desse aplicativo em execução sem que o usuário dê permissão para isso. Também não vemos como eles poderiam determinar a diferença entre um aplicativo mal-intencionado e um legítimo, já que ambos seriam quase idênticos até que um usuário os denunciasse como mal-intencionados. A postura de ‘esperar até que um aplicativo seja denunciado como malicioso antes de removê-lo’ é perigosa e provavelmente se revelará um esforço infrutífero, pois os invasores poderiam publicar aplicativos muito mais rapidamente do que o Google poderia identificar e removê-los do Market.”
Seth Rosenblatt, da CNET, contribuiu para este relatório.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
