A Microsoft descobriu vulnerabilidades críticas de segurança em vários aplicativos Android na semana passada. Um invasor que explorar com êxito esta vulnerabilidade poderá obter acesso não autorizado a aplicativos e dados confidenciais no dispositivo. Curiosamente, essa falha de segurança não se deve ao código do sistema, mas sim, ao uso indevido de determinados sistemas pelos desenvolvedores pode resultar em brechas facilmente exploráveis. Notavelmente, essa falha foi trazida à nossa atenção pelo Google, e a gigante da tecnologia tomou medidas para conscientizar a comunidade de desenvolvedores de aplicativos Android sobre o problema.
“A Microsoft descobriu um padrão de vulnerabilidade relacionado ao path traversal em vários aplicativos Android populares que permite que aplicativos maliciosos explorem aplicativos vulneráveis. Pode ser possível sobrescrever arquivos em seu diretório inicial. Os pesquisadores também destacaram que a vulnerabilidade foi descoberta em vários aplicativos da Google Play Store que foram instalados mais de 4 bilhões de vezes no total.
A vulnerabilidade ocorre quando os desenvolvedores usam incorretamente o sistema provedor de conteúdo do Android, projetado para proteger a troca de dados entre diferentes aplicativos em um dispositivo. Isso inclui isolamento de dados, permissões de URI, validação de caminho e outras medidas de segurança para evitar acesso não autorizado do seu aplicativo ou de terceiros que se infiltrem nele. No entanto, a implementação incorreta do sistema afeta um componente chamado intenções personalizadas. São objetos de mensagens que fornecem comunicação bidirecional entre diferentes aplicativos. Esta vulnerabilidade pode permitir que o aplicativo contorne as medidas de segurança e permita que outros aplicativos (ou hackers que controlam o aplicativo) acessem dados confidenciais armazenados no aplicativo.
Se o dispositivo for atacado, um hacker só precisa acessar um aplicativo para manipular essa vulnerabilidade e conseguir comprometer todos os aplicativos que incluem essa brecha. Isso permite que invasores assumam controle total do seu dispositivo e roubem dados confidenciais, incluindo informações financeiras. Especificamente, esta vulnerabilidade foi encontrada nos aplicativos Xiaomi File Manager e WPS Office. A Microsoft disse em um relatório que os desenvolvedores de ambos os aplicativos investigaram e corrigiram o problema.
O Google também percebeu esse problema e publicou uma postagem no blog Android Developers. A empresa destaca erros comuns e como corrigi-los. Espera-se que os desenvolvedores dos aplicativos afetados corrijam o problema e liberem uma correção nos próximos dias. Não há muito que os usuários finais possam fazer para evitar essa vulnerabilidade, mas recomendamos que os usuários atualizem proativamente os aplicativos em seus dispositivos e evitem baixar aplicativos de fontes de terceiros por enquanto.
Siga o Gadgets 360 para obter as últimas notícias e análises de tecnologia. X, Facebook, WhatsApp, Tópicos, Google Notícias. Para os vídeos mais recentes sobre gadgets e tecnologia, inscreva-se em nosso canal no YouTube. Se você quiser saber tudo sobre os principais influenciadores, siga nosso Who'sThat360 interno no Instagram e no YouTube.
Após reação generalizada, a Sony rescindiu a exigência de vinculação de conta PSN no Steam para Helldivers 2
