Palo Alto Networks descobre vulnerabilidade Highjacking em dispositivos Android

25/03/2015 18:07

A Palo Alto Networks anuncia nesta terça-feira, 24 ,a distribuição de uma vulnerabilidade (denominada Highjacking) do sistema operacional Google Android que permite a invasores "sequestrar" a instalação de um aplicativo aparentemente seguro –  – em dispositivos móveis, substituindo por um aplicativo de escolha do hacker, sem o conhecimento do usuário.

Estima-se que explorações com esta vulnerabilidade afetem 49,5% dos usuários atuais de Android, permitindo a invasores distribuir o malware, comprometendo os dispositivos e roubando informações pessoais. Para sanar esta demanda, a Palo Alto Networks disponibiliza um aplicativo para ajudar a diagnosticar dispositivos afetados.

Vulnerabilidade permite Stealth Bait & Switch

Descoberto pelo pesquisador de ameaças da Unit 42 da Palo Alto Networks Zhi Xu, essa vulnerabilidade explora uma falha no serviço do sistema de pacote de instalação do Android, possibilitando que os hackers façam invasões silenciosas e adquiram permissões ilimitadas, comprometendo os aparelhos, como especificamente:

  • Durante a instalação, ter acesso à lista de permissões requisitadas para executar uma função, como um aplicativo de mensagem que pede um acesso às SMS, por exemplo.
  • Esta vulnerabilidade possibilita que invasores enganem os usuários a partir de um conjunto de permissões, enquanto potencialmente ganham acesso completo aos serviços e dados dos usuários, inclusive informações pessoais e senhas.
  • Enquanto os usuários acreditam estar instalando um app de lanterna, ou um jogo, com um conjunto de permissões bem-definido, eles estão na verdade rodando um perigoso malware.

Na Unit 42, o time de inteligência de ameaças da Palo Alto Networks, tem trabalhado com os dispositivos Google e Android como Samsung e Amazon para ajudar a proteger os usuários e corrigir esta vulnerabilidade nas versões afetadas do sistema operacional. Uma versão mais antiga também pode estar vulnerável.

"Esta descoberta significa que os usuários que pensam que estão acessando aplicativos legítimos com permissões aprovadas podem estar expostos a ladrões de dados e a malwares. A Palo Alto Networks alerta para que os usuários fiquem atentos quanto ao aplicativo de diagnóstico fornecido pela empresa e chequem seus dispositivos. Nós agradecemos ao Google, à Samsung e à Amazon por cooperarem com a operação", afirmou Ryan Olson, diretor de inteligência da Unit 42 da Palo Alto Networks.

Mitigação

A vulnerabilidade divulgada hoje afeta os aplicativos Android baixados de um terço das fontes, mas não afeta aplicativos da Google Play. A Palo Alto Networks aconselha:

  • Nos dispositivos vulneráveis, somente instale aplicativos da loja virtual Google Play; estes arquivos são baixados no espaço protegido, que não podem ser substituídos por um invasor.
  • Implante dispositivos móveis com Android 4.3_r0.9 e posteriores, mas mantenha em mente que mesmo os aparelhos de Android 4.3 são vulneráveis.
  • Não forneça aplicativos com permissão para acessar o "logcat". O "logcat" é um log do sistema, que pode ser usado para simplificar e automatizar uma exploração. O Android 4.1 e outras versões de proibições padrões de aplicativos de acesso ao logcat do sistema ou de outros apps instalados. Porém, um aplicativo instalado pode conseguir acesso a outros aplicativos logcat rodados nos aparelhos.
  • Não permita que usuários corporativos sejam rodados nesses dispositivos com redes corporativas.