Trend Micro já lançou uma atualização da solução Mobile Security que protege seus usuários contra esse risco
São Paulo, julho de 2013 – Na semana passada, pesquisadores de segurança anunciaram uma nova vulnerabilidade em celulares Android, que pode permitir que aplicativos instalados sejam modificados sem que o usuário perceba.
Quase todos os dispositivos Android estão vulneráveis, uma vez que a vulnerabilidade existe desde o Android 1.6 (Donut), e, atualmente, apenas o Samsung Galaxy S4 foi corrigido contra ela. A Trend Micro, líder mundial em
segurança na era da nuvem, já manteve seus usuários protegidos atualizando sua solução Mobile Security.
A vulnerabilidade – conhecida por alguns como “chave-mestra” – tem atraído considerável atenção da mídia, mas nem sempre tem sido relatada com precisão.
O que é a vulnerabilidade “chave-mestra”?
A vulnerabilidade está relacionada à forma como os apps para Android são identificados por assinatura. Todos os apps para Android têm uma assinatura digital de seu desenvolvedor, que certifica que o aplicativo realmente veio
do desenvolvedor e não foi modificado no caminho até o usuário. Um aplicativo só pode ser atualizado se a nova versão tiver uma assinatura correspondente do mesmo desenvolvedor.
Esta vulnerabilidade particular está nesta última etapa. O que os pesquisadores descobriram é que há uma maneira para que golpistas façam a atualização de um aplicativo já instalado, mesmo que não tenham a assinatura
chave do desenvolvedor original. Em suma, qualquer aplicativo instalado poderia ser atualizado para uma versão maliciosa.
Note-se que, tecnicamente, não existe uma “chave mestra” que tenha sido violada. Sim, qualquer aplicativo pode ser modificado e utilizado para fins maliciosos, mas em primeiro lugar não há nenhuma “chave mestra”.
Quais são os riscos?
Esta vulnerabilidade pode ser usada para substituir aplicativos legítimos em um dispositivo Android com versões maliciosas. Apps com muitas permissões – como os do fabricante do celular ou provedor de serviços do usuário – estão
particularmente em risco.
Uma vez no dispositivo, elas podem se comportar da mesma forma que qualquer aplicativo mal-intencionado, exceto que o usuário continuará a percebê-la como um aplicativo completamente legítimo. Por exemplo, um aplicativo com
função de “modificação/Cavalo de Tróia” de um banco vai continuar a funcionar normalmente para o usuário, mas as credenciais serão enviadas para o golpista.
O que os usuários podem fazer para se proteger?
A Trend Micro atualizou o Mobile App Reputation Service para detectar aplicativos que abusam desta vulnerabilidade, mas até agora não encontrou nenhum. No entanto, para os usuários do Mobile Security, foi lançada uma
atualização neste padrão para garantir que ele irá detectar aplicativos que almejam particularmente esta vulnerabilidade. (Todos os usuários com versão padrão 1.513.00 ou posterior estão cobertos. Apps encontrados explorando
esta vulnerabilidade serão detectados como Android_ExploitSign.HRX) Isto é suficiente para garantir que os usuários estão protegidos contra essa ameaça.
Também foram feitos relatórios que apresentam uma abordagem diferente para a mesma crise, contornando a verificação de assinatura do Android, desta vez usando uma vulnerabilidade de execução por meio de um arquivo Java ZipFile. No momento a Trend Micro está trabalhando na solução, e aplicativos maliciosos encontrados usando esta técnica serão detectados como AndroidOS_ExploitSign.HRXA.
A empresa sugere desativar a capacidade de instalar aplicativos a partir de fontes externas ao Google Play. Esta configuração pode ser encontrada em Segurança nas configurações do sistema dos dispositivos Android.
O Google tomou algumas medidas para proteger os usuários. Eles modificaram o backend de sua loja on-line para que os aplicativos que tentam explorar este problema sejam bloqueados. Assim, usuários que não baixam aplicativos de
lojas de terceiros ou fazem o carregamento paralelo a partir de arquivos APK não devem estar em risco com relação a esta ameaça. A empresa também lançou uma correção para a vulnerabilidade e distribuiu entre os OEMs. Esperamos
que a importância desta atualização evite atrasos em sua implementação pelos usuários.
Sobre a Trend Micro
Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a
empresas e consumidores um mundo seguro para a troca de informações
digitais, por meio da segurança para conteúdo na internet e gerenciamento de
ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em
segurança para servidor. Nós oferecemos segurança altamente conceituada,
baseada em cliente, servidor e em nuvem, que atende às necessidades de
nossos consumidores e parceiros, impede ameaças mais rápido e protege dados
em ambientes físicos, virtualizados e em nuvem. Potencializados pela
infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos,
serviços e segurança, líderes na indústria de cloud-computing, impedem a
ação de ameaças de onde quer que elas surjam, na internet, com o apoio de
mais de 1.200 especialistas em inteligência de ameaças em todo o mundo.