Os mecanismos de segurança do Android são complexos para garantir que conseguem proteger os utilizadores e os seus smartphones. No caso das apps assentam na utilização de certificados, que provam a autenticidade dos programadores e das suas criações.
É precisamente aqui que está a mais recente falha e que ameaça os utilizadores. Os certificados de vários fabricantes caíram nas mãos de atacantes e estão agora a valida muitas apps maliciosas e que se julgavam ser fidedignas.
Este é o mais recente caso a afetar os smartphones Android e tem um grau de severidade muito elevado. Tudo assenta num conjunto de certificados que foram acedidos e que permitiu que muitas apps maliciosas fossem tornadas como fidedignas e seguras.
Os certificados colocaram em causa smartphones de marcas como a Samsung, LG, Xiaomi, Mediatek e outros fabricantes menores. As apps criadas estão a ser tomadas como válidas e com permissões que permitem o acesso a dados dos utilizadores. A parte melhor é que a falha já terá sido resolvida.
Folks, this is bad. Very, very bad. Hackers and/or malicious insiders have leaked the platform certificates of several vendors. These are used to sign system apps on Android builds, including the "android" app itself. These certs are being used to sign malicious Android apps! https://t.co/lhqZxuxVR9
— Mishaal Rahman (@MishaalRahman) December 1, 2022
MAIS: Relatório aponta crescimento de malware em aplicativos nos Androids
O problema parece ter sido tanto maior quanto mais apps os fabricantes estão a disponibilizar. Cada uma destas pode ser alterada para conter malware e depois assinada para ser similar a uma pré-instalada pelo fabricante. A título de exemplo, temos a lista das apps potenciais para a Samsung que foram assinadas com o certificado da marca.
Para entender a falha, deve ser explicado que as apps assinadas com os certificados são executadas com um “id de utilizador altamente privilegiado – android.uid.system – e possui permissões do sistema, incluindo permissões para aceder aos dados do utilizador. Qualquer outra app assinada com o certificado pode declarar que pode usar o mesmo id.
Não se sabe desde quando os certificados estão acessíveis aos atacantes. A Samsung revelou num comunicado que as atualizações necessárias foram lançadas desde 2016 e que “não houve incidentes de segurança conhecidos em relação a essa vulnerabilidade potencial”.
Para aumentar ainda mais a segurança neste caso, a Google tem medidas específicas em campo, na Play Store e no Google Play Protect. Ainda assim, porque as apps podem sempre ser instaladas de outras fontes, importa os utilizadores terem o máximo de cuidado com as apps que colocam nos seus smartphones.
