Topo

Falha em plataforma do Google permitia roubo de dados em apps Android

Getty Images/iStockphoto
Imagem: Getty Images/iStockphoto

Felipe Oliveira

Colaboração para Tilt

04/12/2020 16h35

A Google Play Core, biblioteca de recursos para desenvolvedores de aplicativos, apresentou uma falha que permite a apps maliciosos roubarem dados como senhas, mensagens privadas e acesso a outros recursos do aparelho. O levantamento é da empresa de segurança Check Point.

Entre os aplicativos que usam a plataforma estão alguns bastante populares como Facebook, Google Chrome, Instagram, WhatsApp e Snapchat. Mas fique calmo: o Google corrigiu essa falha e cabe aos desenvolvedores fazerem uma atualização para proteger os usuários.

O problema é que nem todos fizeram tal atualização. Segundo o levantamento da Check Point, 8% dos aplicativos analisados ainda tinham uma versão vulnerável, entre eles alguns famosos, como o gravador de tela XRecorder, o navegador Microsoft Edge e o app de relacionamento Grindr.

No total, o levantamento da Check Point identificou 14 aplicativos que, combinados, deixam quase 850 milhões de pessoas vulneráveis a ataques. Após a divulgação do relatório, a empresa afirmou que alguns apps, como Grindr, lançaram atualizações para corrigir a falha.

Como é a falha?

De acordo com a Check Point, a vulnerabilidade foi reportada pela primeira vez em agosto do ano passado. Segundo o levantamento, a falha encontrada permite que um aplicativo execute um código em qualquer app que use a biblioteca Play Core.

O problema veio de uma falha de diretório que permitiu a programas não confiáveis copiar arquivos para uma pasta reservada apenas a códigos confiáveis do Google Play.

Essa falha teria passado por cima de uma proteção central embutida no sistema operacional Android, que evita que um aplicativo acesse códigos que pertencem a qualquer outro aplicativo.

De acordo com os pesquisadores da Check Point, a falha permitiria aos cibercriminosos causarem problemas importantes aos usuários, como:

  • Invadir sua conta de banco ou obter a senha de dois fatores de outros apps que chegam por SMS, como o WhatsApp;
  • Obter acesso aos recursos de aplicativos corporativos (voltados ao trabalho);
  • Acessar aplicativos de redes sociais para espionar a vítima e usar o acesso à localização para rastrear o celular.