Meio Bit » Mobile » Falha dá a hackers acesso a smartphones em tempo real

Falha dá a hackers acesso a smartphones em tempo real

Vulnerabilidade permite que hackers monitorem a atividade de smartphones em tempo real; taxa de sucesso de invasão do Gmail no Android é de 92%

6 anos atrás

hack-android-check

E lá vamos nós para mais um capítulo da série "o que você anda acessando em seu smartphone?" Pesquisadores do Colégio de Engenharia da Universidade da Califórnia e da Universidade de Michigan descobriram uma falha grave que segundo eles, ocorre nas três principais plataformas mobile: Android, iOS e Windows Phone (os dois últimos teoricamente). Através dela, hackers poderiam ter acesso a informações confidenciais através de códigos maliciosos contidos em apps inócuos.

A chave do problema reside na forma como os dispositivos funcionam, pois tudo envolve a memória compartilhada dos smartphones. Explicando por cima, ela funciona como o nome diz: é usada em conjunto por diversas aplicações como forma de permitir que elas troquem informações entre si, já que um processo não pode passar dados para outro diretamente. Dessa forma, um código mal intencionado pode acessar a memória compartilhada, trocar informações com outros apps e comprometer de certa forma todo o sistema.

O exemplo dado pelos pesquisadores utilizou um Android, embora alertem que pelo próprio princípio de funcionamento da memória compartilhada, em teoria qualquer dispositivo mobile é vulnerável. Basta que o usuário baixe qualquer tipo de item com o código invasor, e nem precisa ser um app: um simples wallpaper já pode infectar o aparelho. A partir daí, os pesquisadores conseguiram acessar as estatísticas da memória compartilhada, que ao menos no Android não exige privilégios como superusuário e afins.

A partir daí, é possível relacionar as estatísticas com quaisquer atividades que o usuário está executando em seu smartphone: o app do H&R Block (empresa que fornece serviços de declaração de Imposto de Renda, presente inclusive no Brasil), bem como o Gmail (que foi invadido com 92% de taxa de sucesso), o da loja NewEgg e do Chase Bank foram testados e todos foram invadidos: o monitoramento prevê qual será a próxima ação do usuário baseado em seu comportamento, e cabe ao hacker injetar telas falsas ou capturar os dados diretamente. No caso do app do Chase Bank, foi possível inclusive capturar uma imagem de um cheque para depósito.

Claro, algumas coisas precisam ser levadas em conta: primeiro, o hacker precisa monitorar a vítima constantemente, e o ataque deve ser realizado no exato momento em que ele for executar uma operação de compra, acessar a conta do banco ou qualquer outro ato que envolva dados confidenciais. De qualquer forma, os pesquisadores alertam os usuários para não saírem baixando qualquer coisa na internet, sejam apps fora da lojinha do Android ou qualquer outra coisa. Aos interessados em destrinchar as informações e verificar os métodos da pesquisa, o artigo pode ser acessado aqui (PDF).

E importante, até o momento a vulnerabilidade do iOS e Windows Phone é apenas teórica, mas há uma possibilidade.

Fonte: ZDN.

relacionados


Comentários