Uma vulnerabilidade de segurança no Android pode ter permitido que aplicativos maliciosos desviassem dados confidenciais de outros aplicativos presentes no mesmo dispositivo.
A startup de segurança Oversecured encontrou a falha na biblioteca Play Core, amplamente usada pelo Google, que permite aos desenvolvedores enviar atualizações dentro dos aplicativos e novos módulos de recursos para seus apps Android, como novos níveis de jogo ou pacotes de idiomas.
Um aplicativo malicioso no mesmo dispositivo pode explorar essa vulnerabilidade ao injetar módulos maliciosos em outros apps que dependem da biblioteca, assim conseguindo acessar dados sigilosos dos usuários, como senhas e números de cartões de crédito de dentro dos aplicativos.
Bug permitia roubar dados sigilosos de outros aplicativos presentes no dispositivo. Imagem: Reprodução/Shutterstock
O fundador da Oversecured, Sergey Toshin, afirmou ao TechCrunch que explorar a falha foi “muito fácil”. A startup construiu um aplicativo de prova de conceito usando algumas linhas de código e testou a vulnerabilidade no Google Chrome para Android, que dependia de uma versão vulnerável da biblioteca Play Core.
Segundo Toshin, o app desenvolvido por sua empresa foi capaz de roubar o histórico de navegação, senhas e cookies de login das vítimas. Além disso, o bug também afetou alguns dos aplicativos mais populares da Google Play Store.
O Google reconheceu o bug, cuja avaliação em quesito de gravidade era de 8,8 (de um máximo de 10), e afirmou ter feito a correção do problema. “Agradecemos o fato de o pesquisador ter nos relatado esse problema e, como resultado, ele foi corrigido em março”, disse um porta-voz da empresa.
Para remover qualquer tipo de risco, Toshin sugere que os desenvolvedores de aplicativos devem atualizar seus apps com a versão mais recente da biblioteca Play Core.
Senado aprova LGPD
Em menos de seis horas, o Senado aprovou na quarta-feira (26) a antecipação da Lei Geral de Proteção de Dados (LGPD) (Lei nº 13.709), removendo o artigo 4º da MP 959/2020, que jogava o início da vigência da legislação para 1º de janeiro de 2021.
Além do episódio inédito na história da República brasileira, mais uma surpresa estampou a página do Diário Oficial na madrugada de quinta, quando o governo federal deu o primeiro passo para a criação da ANPD. A autoridade deve fiscalizar e punir organizações que não protegerem adequadamente os dados pessoais dos usuários.
Via: TechCrunch
Tags: