Mais de Um Bilhão de Dispositivos Android Têm Esses Aplicativos Vulneráveis Instalados

Pesquisadores de segurança da equipe de Inteligência de Ameaças da Microsoft revelaram uma vulnerabilidade associada à travessia de caminho, chamada de ataque “Dirty Stream”, em vários aplicativos populares do Android.

Essa vulnerabilidade poderia permitir que um aplicativo malicioso sobrescrevesse arquivos arbitrários no diretório home do aplicativo vulnerável.

Em um relatório publicado na quarta-feira, Dimitrios Valsamaras da equipe de Inteligência de Ameaças da Microsoft disse: “As implicações desse padrão de vulnerabilidade incluem execução de código arbitrário e roubo de tokens, dependendo da implementação de um aplicativo.”

Ele acrescentou: “A execução de código arbitrário pode fornecer a um ator de ameaça controle total sobre o comportamento de um aplicativo. Enquanto isso, o roubo de tokens pode fornecer a um ator de ameaça acesso às contas do usuário e dados sensíveis.”

A descoberta afetou vários aplicativos vulneráveis na Google Play Store, representando mais de quatro bilhões de instalações.

Dois dos aplicativos encontrados vulneráveis ao problema incluíram o Gerenciador de Arquivos da Xiaomi Inc. (com.mi.Android.globalFileexplorer), que tem mais de 1 bilhão de instalações, e o WPS Office (cn.wps.moffice_eng), que tem mais de 500 milhões de downloads.

O sistema operacional Android impõe isolamento ao atribuir a cada aplicativo seu próprio espaço de dados e memória dedicado, particularmente o componente do provedor de conteúdo e sua classe ‘FileProvider’, que facilita o compartilhamento seguro de dados e arquivos com outros aplicativos instalados.

Quando implementado incorretamente, isso pode introduzir vulnerabilidades que podem permitir a contornar as restrições de leitura/gravação dentro do diretório home de um aplicativo.

“Esse modelo baseado em provedor de conteúdo fornece um mecanismo de compartilhamento de arquivos bem definido, permitindo que um aplicativo servidor compartilhe seus arquivos com outros aplicativos de maneira segura e com controle detalhado,” observou Valsamaras.

“No entanto, frequentemente encontramos casos em que o aplicativo consumidor não valida o conteúdo do arquivo que recebe e, o mais preocupante, usa o nome do arquivo fornecido pelo aplicativo servidor para armazenar em cache o arquivo recebido dentro do diretório de dados interno do aplicativo consumidor.”

A execução de código malicioso pode ser alcançada permitindo que um ator de ameaça tenha controle total sobre o comportamento de um aplicativo e fazendo com que ele se comunique com um servidor sob seu controle para acessar dados sensíveis.

Como parte da política de divulgação responsável da Microsoft, a empresa compartilhou suas descobertas com os desenvolvedores de aplicativos Android que foram afetados pelo Dirty Stream. Por exemplo, as equipes de segurança da Xiaomi, Inc. e WPS Office já investigaram e corrigiram o problema.

No entanto, a empresa acredita que mais aplicativos podem ser impactados e provavelmente comprometidos devido à mesma fraqueza de segurança. Portanto, recomenda que todos os desenvolvedores analisem sua pesquisa e garantam que seus produtos não sejam afetados.

“Antecipamos que o padrão de vulnerabilidade pode ser encontrado em outros aplicativos. Estamos compartilhando esta pesquisa para que desenvolvedores e editores possam verificar seus aplicativos em busca de problemas semelhantes, corrigir conforme apropriado e evitar a introdução de tais vulnerabilidades em novos aplicativos ou lançamentos,” acrescentou Valsamaras.

Reconhecendo que esse padrão de vulnerabilidade pode ser generalizado, a Microsoft também compartilhou suas descobertas com a equipe de Pesquisa de Segurança de Aplicativos Android do Google.

O gigante da busca publicou um artigo no site dos Desenvolvedores Android para ajudar os desenvolvedores a evitar a introdução desse padrão de vulnerabilidade em seus aplicativos.

Enquanto isso, os usuários podem mitigar o risco mantendo seus dispositivos Android e aplicativos instalados de fontes confiáveis atualizados.