Falha em plataforma do Google permitia roubo de dados em apps Android
A Google Play Core, biblioteca de recursos para desenvolvedores de aplicativos, apresentou uma falha que permite a apps maliciosos roubarem dados como senhas, mensagens privadas e acesso a outros recursos do aparelho. O levantamento é da empresa de segurança Check Point.
Entre os aplicativos que usam a plataforma estão alguns bastante populares como Facebook, Google Chrome, Instagram, WhatsApp e Snapchat. Mas fique calmo: o Google corrigiu essa falha e cabe aos desenvolvedores fazerem uma atualização para proteger os usuários.
O problema é que nem todos fizeram tal atualização. Segundo o levantamento da Check Point, 8% dos aplicativos analisados ainda tinham uma versão vulnerável, entre eles alguns famosos, como o gravador de tela XRecorder, o navegador Microsoft Edge e o app de relacionamento Grindr.
No total, o levantamento da Check Point identificou 14 aplicativos que, combinados, deixam quase 850 milhões de pessoas vulneráveis a ataques. Após a divulgação do relatório, a empresa afirmou que alguns apps, como Grindr, lançaram atualizações para corrigir a falha.
Como é a falha?
De acordo com a Check Point, a vulnerabilidade foi reportada pela primeira vez em agosto do ano passado. Segundo o levantamento, a falha encontrada permite que um aplicativo execute um código em qualquer app que use a biblioteca Play Core.
O problema veio de uma falha de diretório que permitiu a programas não confiáveis copiar arquivos para uma pasta reservada apenas a códigos confiáveis do Google Play.
Essa falha teria passado por cima de uma proteção central embutida no sistema operacional Android, que evita que um aplicativo acesse códigos que pertencem a qualquer outro aplicativo.
De acordo com os pesquisadores da Check Point, a falha permitiria aos cibercriminosos causarem problemas importantes aos usuários, como:
- Invadir sua conta de banco ou obter a senha de dois fatores de outros apps que chegam por SMS, como o WhatsApp;
- Obter acesso aos recursos de aplicativos corporativos (voltados ao trabalho);
- Acessar aplicativos de redes sociais para espionar a vítima e usar o acesso à localização para rastrear o celular.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.