Nova Vulnerabilidade Afeta 6 em Cada 7 Aplicativos no Android
Uma equipe de pesquisadores da Universidade de Michigan e da Universidade da Califórnia em Riverside, Estados Unidos, divulgou a descoberta de uma nova falha no sistema operacional Android.
Um aplicativo malicioso pode permitir o roubo de credenciais de logins, imagens e dados privados de usuários através de uma falha na interface gráfica, recentemente descoberta no sistema operacional.Esse novo tipo de ataque foi batizado de UI “State Inference Attack” (Ataque à interface do usuário através de inferência).
O ataque explora o fato de que os aplicativos revelam cada mudança de estado que ocorre, ou seja, cada passo do usuário (inicialização, digitação de credenciais de login, entre outros) é visível e pode ser interceptado por aplicativos espiões que utilizam essa técnica.As informações podem ser recolhidas sem permissões especiais no Android, de acordo com um documento apresentado na Conferência de Segurança USENIX na semana passada.
O aplicativo malicioso identifica que o usuário acabou de clicar em um botão de "login" e pode criar uma caixa de diálogo solicitando um nome de usuário e senha viabilizando o roubo das credenciais de acesso.
Em vídeos demonstrando o ataque, o grupo de pesquisa apontou que o aplicativo espião pode roubar um nome de usuário e senha, copiar uma imagem de um cheque, e roubar informações de cartão de crédito de outra aplicação. Veja a seguir o vídeo divulgado do ataque:
Os pesquisadores demonstraram que o ataque tem uma taxa de efetividade que varia entre 82% e 92% nos aplicativos testados (6 de cada 7 aplicativos para Android), embora alguns aplicativos demonstrem um comportamento que dificulta o ataque.
0 comentários: