Pesquisadores de segurança cibernética da Microsoft descobriram uma maneira de o malware Android substituir arquivos no diretório inicial de outro aplicativo legítimo. Em teoria, os agentes de ameaças poderiam usar esta vulnerabilidade para montar ataques de execução de código arbitrário ou roubar arquivos confidenciais de aplicativos.
Em uma postagem de blog publicada no início desta semana, a Microsoft detalhou como funciona a vulnerabilidade, quais aplicativos eram vulneráveis, quais já tapavam as brechas e o que pode ser esperado nas próximas semanas e meses.
A vulnerabilidade decorre da maneira como o Android tenta manter seguras informações confidenciais, geradas por diferentes aplicativos.
Fluxo Sujo
Como explica a Microsoft, cada aplicativo no dispositivo Android é isolado dos outros, obtendo seus próprios dados e espaço de memória dedicados. Isso evita que os aplicativos leiam os dados uns dos outros, o que pode, em alguns cenários, levar ao vazamento de dados.
Mas às vezes os aplicativos precisam compartilhar dados entre si, e é por isso que o Android introduziu um componente chamado provedor de conteúdo, que funciona como uma interface para gerenciar e expor dados com segurança a outros aplicativos.
“Quando usado corretamente, um provedor de conteúdo oferece uma solução confiável. No entanto, a implementação inadequada pode introduzir vulnerabilidades que podem permitir contornar as restrições de leitura/gravação no diretório inicial de um aplicativo”, explicaram os pesquisadores.
A pior parte é que as implementações inadequadas são muitas para serem contadas. A Microsoft afirma ter identificado aplicativos vulneráveis na Play Store “que representavam mais de quatro bilhões de instalações”.
Entre eles estão o File Manager da XIaomi (mais de um bilhão de instalações) e o WPS Office (cerca de 500 milhões de instalações). A Microsoft notificou essas duas empresas sobre suas descobertas e ambas já implantaram correções e mitigaram os riscos. No entanto, como existem muitos aplicativos vulneráveis por aí para notificar todos separadamente, a Microsoft publicou um artigo no site de desenvolvedores Android, descobriu o BleepingComputer . Além disso, o Google também atualizou suas orientações de segurança de aplicativos para refletir as descobertas.
A vulnerabilidade foi apelidada de “Dirty Stream”.
