Uma equipe de pesquisadores de segurança alega ter encontrado um bug de quatro anos de idade no Android que permite que trojans apareçam como apps verificados e infectem dispositivos com malwares sem que usuários percebam a sua presença.
ATUALIZAÇÃO: o Google resolveu o bug, mas seu smartphone ou tablet Android talvez demore um pouco para receber a correção. Saiba mais aqui.
Normalmente, os apps são verificados ao usar assinaturas criptografadas: atualizações modificadas são rejeitadas se a chave não for igual à oferecida pelo desenvolvedor do software. Mas a equipe, da Bluebox Labs, encontrou uma forma de modificar o arquivo APK do app sem violar a assinatura – o que significa que códigos maliciosos podem ser facilmente injetados sem que usuários fiquem sabendo.
A equipe alega que o bug existe desde o Android 1.6 Donut, e afeta 99% dos dispositivos com o OS. O Google foi notificado sobre a falha em fevereiro de 2013, mas devido à forma como as atualizações do Android são feitas, a liberação do patch de correção da vulnerabilidade depende de fabricantes de dispositivos. Aparentemente, o Galaxy S4 já foi atualizado – mas estranhamente a linha Nexus do Google ainda não.
Mas, antes de você entrar em pânico, é bom lembrar que mesmo que o código malicioso seja injetado em um app verificado, o software precisa ser instalado no seu smartphone. E se você baixar apps exclusivamente da Play Store do Google, é difícil que isso aconteça – mas se você baixa atualizações de lojas de apps de terceiros, pode estar em risco. Para garantir: tenha cuidado quando baixar algo de fora da loja do Google.
A Bluebox vai apresentar a pesquisa ainda neste mês durante uma conferência de segurança Black Hat em Las Vegas. [Bluebox via IDG via Verge]