A Microsoft descobriu uma grande vulnerabilidade de segurança em vários aplicativos Android na semana passada que poderia ser explorada para obter acesso não autorizado a aplicativos e dados confidenciais no dispositivo. Curiosamente, essa falha de segurança não vem dos códigos do sistema, mas sim de um uso indevido de um determinado sistema pelos desenvolvedores que pode levar a brechas propensas à exploração. Notavelmente, a falha foi destacada para o Google, e a gigante da tecnologia tomou medidas para conscientizar a comunidade de desenvolvedores de aplicativos Android sobre o problema.
Em uma postagem em seu Blog de Segurança, a equipe de Inteligência de Ameaças da Microsoft declarou: “A Microsoft descobriu um padrão de vulnerabilidade afiliado ao path traversal em vários aplicativos Android populares que poderia permitir que um aplicativo malicioso substituísse arquivos no diretório inicial do aplicativo vulnerável”. Os pesquisadores também destacaram que a vulnerabilidade foi detectada em vários aplicativos da Google Play Store que tinham um total combinado de mais de quatro bilhões de instalações.
Essa vulnerabilidade surge quando um desenvolvedor usa incorretamente o sistema provedor de conteúdo do Android, projetado para proteger a troca de dados entre diferentes aplicativos em um dispositivo. Isso inclui isolamento de dados, permissões de URI, validação de caminho e outras medidas de segurança para impedir o acesso não autorizado dos aplicativos ou de qualquer outra pessoa que invada o aplicativo. No entanto, a implementação inadequada do sistema afeta um componente chamado intenções personalizadas. Esses são os objetos de mensagens que conduzem a comunicação bidirecional entre diferentes aplicativos. Quando esta vulnerabilidade existe, os aplicativos podem ignorar as medidas de segurança e permitir que outros aplicativos (ou hackers que os controlam) acessem dados confidenciais armazenados neles.
No caso de um ataque ao dispositivo, os hackers podem manipular essa vulnerabilidade acessando apenas um aplicativo, eles podem entrar em todos os aplicativos que contêm essa brecha. Isso permite que os malfeitores obtenham controle total sobre o dispositivo ou roubem dados confidenciais, incluindo informações financeiras. Notavelmente, a vulnerabilidade foi encontrada nos aplicativos Xiaomi File Manager e WPS Office. A Microsoft afirmou em seu relatório que os desenvolvedores por trás de ambos os aplicativos investigaram e corrigiram o problema.
O Google também tomou conhecimento do problema e publicou uma postagem em seu blog Android Developers. A empresa destacou os erros comuns e maneiras de corrigi-los. Espera-se que os desenvolvedores dos aplicativos afetados corrijam os problemas nos próximos dias e liberem uma correção. Embora os usuários finais não possam fazer muito para evitar essa vulnerabilidade, é recomendável que eles permaneçam proativos na atualização dos aplicativos em seus dispositivos e evitem baixar aplicativos de fontes de terceiros por um tempo.
source – www.gadgets360.com
