Pesquisadores de segurança afirmam ter encontrado um bug no Android que permite que arquivos maliciosos se disfarcem de aplicativos verificados para atacar usuários. De acordo com a equipe da Bluebox Labs, a falha existe desde a versão 1.6 do sistema móvel do Google e atinge “99%” dos aparelhos.
Normalmente, os aplicativos são verificados por assinaturas criptográficas, para que as atualizações dos apps sejam rejeitadas caso não coincidam com a fornecida pelo desenvolvedor. Os pesquisadores da Bluebox, no entanto, descobriram uma forma de modificar o código do sistema sem quebrar essa criptografia. Isso permitiria a instalação de um código malicioso no aparelho através da atualização de um aplicativo, sem que o usuário perceba.
saiba mais
Google desenvolve console com sistema Android
Mozilla anuncia que celular popular Firefox chega ‘em breve’
Explorar a falha pela Play Store, no entanto, não seria possível, já que o Google atualizou a plataforma da sua loja de aplicativos. Os usuários, no entanto podem ser enganados ou atraídos a fazer a instalação de uma atualização falsa por outros meios, como lojas de aplicativos de terceiros, e-mails de phishing ou sites maliciosos.
A Bluebox vai revelar todos os detalhes de sua pesquisa no final do mês na conferência de segurança Black Hat, em Las Vegas. A empresa informou ao Google sobre a falha em fevereiro, mas depende de cada um dos fabricantes atualizar os dispositivos para corrigir o problema.