Manto e punhal explorar android: rouba senha e registra as teclas digitadas

Pesquisadores do Instituto de Tecnologia da Geórgia e da Universidade da Califórnia, em Santa Bárbara, divulgaram um relatório afirmando várias vulnerabilidades encontradas nos sistemas operacionais Android Lollipop, Marshmallow e Nougat.

De acordo com os pesquisadores, aplicativos maliciosos têm a capacidade de explorar duas permissões na Play Store - o 'empate no topo' e 'serviço de acessibilidade'.

Os usuários podem ser atacados usando uma dessas vulnerabilidades ou as duas. O invasor pode clicar em clickjack, gravar pressionamentos de tecla, roubar o PIN de segurança do dispositivo, inserir adware no dispositivo e também usar tokens de autenticação de dois fatores.

Leia também: 5 dicas para impedir que seu dispositivo Android seja atingido pelo Ransomware.

“Cloak & Dagger é uma nova classe de possíveis ataques que afetam os dispositivos Android. Esses ataques permitem que um aplicativo mal-intencionado controle completamente o loop de feedback da interface do usuário e assuma o controle do dispositivo, sem dar ao usuário a oportunidade de perceber a atividade maliciosa ”, observaram os pesquisadores.

Esta vulnerabilidade foi exposta anteriormente

No início deste mês, informamos sobre uma vulnerabilidade não corrigida semelhante no sistema operacional Android, que usava a permissão "System_Alert_Window" usada para "desenhar no topo".

Anteriormente, essa permissão - System_Alert_Window - tinha que ser concedida manualmente pelo usuário, mas com o advento de aplicativos como o Facebook Messenger e outros que usam pop-ups na tela, o Google concede isso por padrão.

Embora a vulnerabilidade, se explorada, possa levar a um ataque de ransomware ou adware completo, não será fácil para um hacker iniciar.

Essa permissão é responsável por 74% do ransomware, 57% do adware e 14% dos ataques de malware do banco em dispositivos Android.

Todos os aplicativos que você baixa da Play Store são verificados quanto a códigos e macros maliciosos. Assim, o invasor terá que contornar o sistema de segurança interno do Google para entrar na loja de aplicativos.

Recentemente, o Google também atualizou seu sistema operacional móvel com uma camada adicional de segurança que verifica todos os aplicativos que estão sendo baixados no dispositivo por meio da Play Store.

Está usando o Android seguro agora?

Os aplicativos maliciosos que são baixados da Play Store recebem automaticamente as duas permissões mencionadas anteriormente, o que permite que um invasor danifique seu dispositivo das seguintes maneiras:

• Ataque de grade invisível: O atacante atrai uma sobreposição invisível para o dispositivo, permitindo que registrem as teclas digitadas.
• Roubar PIN do dispositivo e operá-lo em segundo plano mesmo quando a tela estiver desligada.
• Injetando adware no dispositivo.
• Explorando a Web e phishing furtivamente.

Os pesquisadores contataram o Google sobre as vulnerabilidades encontradas e confirmaram que, embora a empresa tenha implementado correções, elas não são à prova de erros.

A atualização desativa as sobreposições, o que evita o ataque de grade invisível, mas o Clickjacking ainda é uma possibilidade, pois essas permissões podem ser desbloqueadas por um aplicativo mal-intencionado usando o método de desbloqueio do telefone mesmo quando a tela está desativada.

O teclado do Google também recebeu uma atualização que não impede o registro de pressionamentos de teclas, mas garante que as senhas não vazem como sempre ao inserir valor em um campo de senha. Agora, o teclado registra senhas como 'ponto' em vez do caractere real.

Mas há uma maneira de contornar isso também, que pode ser explorada pelos invasores.

"Como é possível enumerar os widgets e seus hashcodes que são projetados para serem pseudo-exclusivos, os hashcodes são suficientes para determinar qual botão do teclado foi realmente clicado pelo usuário", destacaram os pesquisadores.

Leia também: 13 Cool Upcoming Android Features revelado pelo Google.

Todas as vulnerabilidades que a pesquisa descobriu ainda são propensas a um ataque, embora a última versão do Android tenha recebido um patch de segurança em 5 de maio.

Os pesquisadores enviaram um aplicativo à Google Play Store que exigia as duas permissões mencionadas acima e mostrou claramente intenções maliciosas, mas foi aprovado e ainda está disponível na Play Store. Isso mostra que a segurança da Play Store não está funcionando muito bem.

Qual é a melhor aposta para ficar seguro?

Verificar e desabilitar ambas as permissões manualmente para qualquer aplicativo não confiável que tenha acesso a um ou a ambos é a melhor opção

É assim que você pode verificar quais aplicativos têm acesso a essas duas permissões especiais no seu dispositivo.

• Android Nougat: " desenhar no topo" - Configurações -> Aplicativos -> "Símbolo de engrenagem (canto superior direito) -> Acesso especial -> Desenhe outros aplicativos

  'a11y': Configurações -> Acessibilidade -> Serviços: verifique quais aplicativos exigem a11y.

• Marshmallow Android: "desenhar no topo" - Configurações -> Aplicativos -> "Símbolo de engrenagem" (canto superior direito) -> Desenhe sobre outros aplicativos.

  a11y: Configurações → Acessibilidade → Serviços: verifique quais aplicativos exigem a11y.

• Android Lollipop: "desenhar no topo" - Configurações -> Aplicativos -> clicar em um aplicativo individual e procurar "desenhar sobre outros aplicativos"

  a11y: Configurações -> Acessibilidade -> Serviços: verifique quais aplicativos exigem a11y.

O Google fornecerá mais atualizações de segurança para resolver os problemas encontrados pelos pesquisadores.

Leia também: Aqui está como remover Ransomware do seu telefone.

Embora várias dessas vulnerabilidades sejam corrigidas pelas seguintes atualizações, os problemas relacionados à permissão "empate no topo" estão lá para ficar até que o Android O seja lançado.

Os riscos de segurança na Internet estão crescendo em grande escala e, atualmente, a única maneira de proteger o seu dispositivo é instalar um software antivírus confiável e ser um vigilante.