Smartphones com aplicativos instalados de fábrica podem deixá-lo exposto a mais falhas de segurança do que um celular “limpo”. É a conclusão de um estudo divulgado pela Wired e financiado pelo Departamento de Defesa dos Estados Unidos.
A empresa de segurança mobile Kryptowire vasculhou smartphones Android das marcas Asus, LG, Essential e ZTE (estas duas últimas não atuam no Brasil) em busca de falhas de segurança provenientes de apps pré-instalados, o famoso bloatware.
A gravidade das falhas muda de caso a caso, mas, segundo Angelos Stavrou, CEO da Kryptowire, a maioria tem a ver com bugs no firmware causados por apps e jogos, muitas vezes inúteis ou redundantes, que foram instalados em algum ponto da linha de produção, na fábrica ou na loja que vendeu o aparelho.
Um caso citado no estudo é o do ZenFone V Live, da Asus, que não é vendido no Brasil. Segundo a Kryptowire, o aparelho tem brechas que permitem a um hacker tomar controle do sistema inteiro remotamente, incluindo capturas de tela chamadas, mensagens de texto e muito mais.
Outro caso é o do LG G6, cujas vulnerabilidades podem expor os registros do Logcat, ferramenta de linha de comando do Android, ou bloquear o smartphone e trancar o usuário para fora. No caso do Essential Phone, as falhas permitem limpar o sistema e fazer uma restauração de fábrica à distância.
Na maioria dos casos, o usuário precisa instalar um app malicioso, propositalmente ou não, que se aproveitaria das brechas. Mas, de acordo com a Kryptowire, muitas dessas falhas deixadas por bloatware podem ser exploradas sem que o usuário perceba. É o caso de um celular da ZTE chamado Blade Spark.
Hackers podem ter acesso a diversas funções do aparelho, como câmera e GPS, sem pedir permissão ao usuário. De acordo com a Kryptowire, esse tipo de brecha pode ser encontrado em “milhões” de smartphones vendidos nos EUA e, potencialmente, em outras partes do mundo que usam os mesmos bloatwares.
Asus, LG, ZTE e Essential emitiram comunicados à Wired informando que a maioria das falhas, se não todas, citadas pelo estudo da Kryptowire, já foram corrigidas ou serão em futuras atualizações de segurança.
Esta post foi modificado pela última vez em 13 de agosto de 2018 14:55