Uma postagem recente no site da Android Partner Vulnerability Initiative (APVI) do Google revelou um grande vazamento de segurança do Android. O vazamento deixou dispositivos da Samsung, LG, Xiaomi e muitas outras marcas vulneráveis a aplicativos de malware muito, muito perigosos. Esses aplicativos podem obter o mesmo nível de acesso aos dispositivos afetados que o próprio sistema operacional.
Milhões de dispositivos Android são vulneráveis a aplicativos de malware perigosos
O problema decorre de certificados de plataforma vazados. Esses certificados ou chaves de assinatura determinam a legitimidade da versão do Android em um dispositivo. Os fornecedores também usam esses certificados para assinar aplicativos. Embora o sistema operacional Android atribua um ID de usuário exclusivo (UID) a cada aplicativo na instalação, os aplicativos que compartilham as chaves de assinatura também podem ter um UID compartilhado e acessar os dados uns dos outros. E por esse design, os aplicativos assinados com o mesmo certificado do próprio sistema operacional também obtêm o mesmo privilégio.
O problema aqui é que várias empresas tiveram seus certificados da plataforma Android vazados para as pessoas erradas. Os certificados agora estão sendo mal utilizados para assinar aplicativos maliciosos com os mesmos privilégios do sistema operacional Android. Os aplicativos podem obter permissões no nível do sistema nos dispositivos afetados sem entrada do usuário. Portanto, assim que o aplicativo carregado de malware é instalado em um dispositivo, seus criadores podem obter todos os dados que desejam do dispositivo sem que a vítima perceba nada (via).
As empresas que assinam aplicativos com certificados da plataforma tornam esse vazamento ainda mais perigoso. Os malfeitores nem precisam criar novos aplicativos e enganar as vítimas em potencial para instalá-los. Em vez disso, eles podem simplesmente pegar um aplicativo assinado com as chaves vazadas, como os plug-ins Bixby Routines e Galaxy Watch da Samsung, adicionar malware a ele, assiná-lo com a mesma chave e enviá-lo como uma atualização. Claro, eles podem distribuir o aplicativo por meio da Play Store, mas o Android confiaria que fosse uma atualização legítima, mesmo que os usuários fizessem o sideload do aplicativo malicioso.
O Google afetou os fabricantes que tomaram medidas de remediação
Segundo o Google, esse vazamento de segurança do Android foi relatado pela primeira vez em maio deste ano. Todos os fabricantes afetados já “tomaram medidas de remediação para minimizar o impacto do usuário” do vazamento. Mas os usuários ainda podem estar vulneráveis se já tiverem o aplicativo malicioso instalado em seus dispositivos. Pior ainda, alguns dos exemplos de malware podem estar ativos desde 2016. Se você estiver usando um dispositivo Android mais antigo, recomendamos que atualize para um modelo mais novo que esteja recebendo atualizações de segurança ativamente. Você também deve evitar o sideload de aplicativos e sempre instalar aplicativos da Google Play Store.
Enquanto isso, o Google recomenda que os fornecedores do Android substituam os certificados de plataforma comprometidos e o façam regularmente para evitar problemas semelhantes no futuro. As empresas também devem evitar o uso de certificados de plataforma para assinar aplicativos para minimizar os riscos. Esperamos que os OEMs do Android ajam de acordo com essas recomendações e coloquem a privacidade e a segurança do usuário acima de tudo.