Uma falha XFO (X-Frame-Options) na Google Play Store permite execução remota de código

Uma vulnerabilidade no aplicativo da Google Play Store torna os usuários do Android vulneráveis a malware.

A falha XFO, também conhecida como X-Frame-Options, quando combinada com um recente bug do Android WebView (Jelly Bean), cria um meio para hackers instalarem silenciosamente qualquer aplicativo da Google Play Store.

Joe Vennix da Rapid7 identificou a vulnerabilidade XFO da Play Store e a empresa Metasploit tornou o problema público na terça-feira com a publicação de um aviso, acompanhado por um módulo Metasploit que ajuda profissionais de segurança corporativa a testar smartphones fornecidos pela empresa quanto à exposição à vulnerabilidade XFO.

O gerente de engenharia da Rapid7, Tod Beardsley, da empresa que está por trás da ferramenta de teste de penetração Metasploit, explicou que muitos dispositivos que executam instalações do Android 4.3 (Jelly Bean) e anteriores vêm com navegadores com exposições de UXSS [Universal Cross-site Scripting].

Beardsley afirma,

“Os usuários dessas plataformas também podem ter instalado navegadores de terceiros vulneráveis. Até que a falha XFO [X-Frame-Options] da Google Play Store seja mitigada, os usuários dessas aplicações web que habitualmente fazem login em sua Conta Google continuarão vulneráveis.”

Beardsley prossegue explicando que a execução remota de código é alcançada aproveitando duas vulnerabilidades em dispositivos Android afetados. Detalhando mais sobre o módulo Metasploit,

“Primeiro, o módulo explora uma vulnerabilidade de Universal Cross-Site Scripting (UXSS) presente em versões do navegador padrão de código aberto do Android (o Navegador AOSP), bem como em alguns outros navegadores, anteriores à 4.4 (KitKat). Em segundo lugar, a interface web da Google Play Store não aplica um cabeçalho X-Frame-Options: DENY em algumas páginas de erro e, portanto, pode ser alvo de injeção de script. Como resultado, isso leva à execução remota de código através do recurso de instalação remota da Google Play, já que qualquer aplicativo disponível na Google Play Store pode ser instalado e iniciado no dispositivo do usuário.”

Portanto, usar um navegador como o Google Chrome ou o Mozilla Firefox, que não são suscetíveis a vulnerabilidades de UXSS amplamente conhecidas, e não fazer login na Google Play Store pode ajudar a mitigar e evitar essa vulnerabilidade.