Mais da metade dos dispositivos Android vulneráveis a bug de controle remoto através de aplicativo falso semelhante

Este parece ser um mês ruim para o Google e a equipe de segurança do Android em particular, porque desde o início do mês, houve grandes vulnerabilidades relatadas no sistema operacional Android. Primeiro foi a vulnerabilidade do Stagefright, que poderia permitir que hackers travassem seu smartphone apenas enviando uma mensagem de texto multimídia. Em seguida, veio a vulnerabilidade do Silent Attack, que era a extensão do Stagefright e poderia permitir que hackers entrassem remotamente no smartphone Android sem o consentimento ou conhecimento do proprietário.

Agora, a equipe de pesquisa em segurança de aplicativos da IBM, X-Force, descobriu mais uma vulnerabilidade crítica em smartphones e tablets Android. A falha, que afeta a versão 4.3 Jelly Bean do Android até a versão 5.1 Lollipop e também a mais recente versão Android M Preview 1, permite que hackers controlem remotamente um dispositivo alvo.

Como essa falha está afetando todos os dispositivos que executam Jelly Bean e versões superiores, quase metade dos smartphones ativos no mundo são afetados por esse bug. A vulnerabilidade foi chamada de vulnerabilidade de serialização do Android e recebeu o CVE-2015-3825.

A vulnerabilidade de serialização do Android permite que um aplicativo malicioso sem privilégios obtenha controle total de um dispositivo por meio da execução remota de código. O que significa que os hackers podem então substituir um aplicativo legítimo e confiável por um ‘Super App’ semelhante para enganar o usuário a inserir detalhes pessoais.

Ou Peles, da equipe de pesquisa em segurança de aplicativos da IBM X-Force, explicou em um post no blog que a falha ainda não foi explorada na prática, mas afirmou que “com o foco e as ferramentas certas, aplicativos maliciosos têm a capacidade de contornar até mesmo os usuários mais conscientes da segurança.”

“O exploit PoC que criamos ataca o processo system_server, que possui privilégios elevados. Explorar o system_server permite a escalonamento de privilégios para o usuário do sistema com um perfil SELinux bastante relaxado (devido às muitas responsabilidades do system_server), o que permite que o atacante cause muitos danos. Por exemplo, um atacante pode assumir qualquer aplicativo no dispositivo da vítima substituindo o pacote de aplicativo Android (APK) do aplicativo alvo. Isso pode então permitir que o atacante execute ações em nome da vítima. Além disso, conseguimos executar comandos de shell para exfiltrar dados de todos os aplicativos instalados no dispositivo explorando o aplicativo Android Keychain. Também poderíamos alterar a política SELinux e, em alguns dispositivos, carregar módulos de kernel maliciosos.”

Uma vez que o malware é executado, ele substitui um aplicativo real por um falso, o que permite que o atacante roube informações sensíveis do aplicativo ou crie um ataque de phishing convincente.

Peles afirmou que sua equipe também encontrou vulnerabilidades em vários SDKs Android de terceiros, permitindo a execução de código arbitrário que poderia permitir que atacantes roubassem informações sensíveis dos aplicativos afetados.

“As vulnerabilidades descobertas são resultado da capacidade do atacante de controlar valores de ponteiro durante a desserialização de objetos no espaço de memória de aplicativos arbitrários, que é então usado pelo código nativo do aplicativo invocado pelo coletor de lixo (GC) em tempo de execução,” ele acrescentou. Os desenvolvedores aproveitam classes dentro da plataforma Android e SDKs. Essas classes fornecem funcionalidade para aplicativos – por exemplo, acessar a rede ou a câmera do telefone.” “A vulnerabilidade que encontramos pode ser explorada por malware através do canal de comunicação que ocorre entre aplicativos ou serviços. À medida que as informações são fragmentadas e reunidas, código malicioso é inserido nesse fluxo, explora a vulnerabilidade na outra extremidade e então toma posse do dispositivo.”

A equipe de pesquisa X-Force notificou o Google, que já lançou um patch para a falha. A pesquisa da X-Force pode ser encontrada aqui.