A Microsoft descobriu um bug perigoso no Android que permite hackear smartphones por meio de aplicativos.

Os desenvolvedores da Microsoft identificaram uma vulnerabilidade grave em aplicativos populares para a plataforma móvel Android. Esta vulnerabilidade permite que invasores executem remotamente códigos maliciosos e roubem dados de usuários e tokens de autenticação.

Fonte da imagem: Denny Müller/Unsplash

Segundo o relatório da Microsoft, a vulnerabilidade afeta pelo menos quatro aplicativos da loja Google Play com milhões de downloads. Entre eles estão o popular gerenciador de arquivos da empresa chinesa Xiaomi e o pacote de escritório WPS Office. Cada um desses aplicativos recebeu mais de 500 milhões de instalações.

Qual é a vulnerabilidade? O fato é que muitos programas Android usam um mecanismo especial para troca segura de arquivos com outros aplicativos. Porém, ao receber um arquivo de um aplicativo de terceiros, eles não verificam seu conteúdo e usam o nome do arquivo especificado pelo remetente para salvá-lo no armazenamento interno. É disso que os invasores se aproveitam ao criar aplicativos maliciosos que enviam arquivos com nomes perigosos para programas-alvo. Por exemplo, um aplicativo malicioso pode enviar um arquivo com o nome das configurações de um cliente de e-mail, navegador ou mensageiro instantâneo. Ao receber esse arquivo, o aplicativo alvo irá salvá-lo em sua pasta e começar a usá-lo para trabalhar, o que levará ao comprometimento da solução de software e ao vazamento de dados confidenciais.

Segundo especialistas da Microsoft, as consequências potenciais podem ser bastante graves. Por exemplo, os invasores podem redirecionar o tráfego de aplicativos para seus servidores, obtendo acesso a tokens de autenticação de usuários, mensagens privadas e outras informações valiosas.

A Microsoft informou o Google sobre o problema descoberto. Por sua vez, o Google divulgou diretrizes para que os desenvolvedores identifiquem e corrijam essa vulnerabilidade em aplicativos Android. Além disso, a Microsoft entrou em contato diretamente com os fornecedores do software afetado na Google Play Store. Em particular, a Xiaomi e o WPS Office já lançaram atualizações que colmatam a falha de segurança.

No entanto, a Microsoft acredita que muitos outros aplicativos Android podem estar vulneráveis ​​da mesma forma. A empresa incentiva todos os desenvolvedores a testar exaustivamente seus produtos. Para usuários comuns, é recomendado atualizar regularmente os aplicativos para as versões mais recentes e instalar apenas programas comprovados da loja oficial do Google Play.