Falha que atingia 99% de aparelhos Android é corrigida, mas não pelo Google

Uma vulnerabilidade no Android recentemente divulgada (leia mais aqui) pode ser corirgida graças a um novo recurso desenvolvido não exatamente por fabricantes e operadoras, mas por pesquisadores da Northeastern University’s System Security Lab e a empresa de segurança Duo Security.

As duas organizações anunciaram nesta terça (16) o lançamento do ReKey, um aplicativo gratuito desenvolvido para solucionar a falha do Android cuja estimativa era estar presente em 900 milhões de devices que rodam o sistema operacional, podendo assim ser explorada por  cibercriminosos para controlar os aparelhos. O aplicativo pode ser baixado do website dedicado ao Rekey ou via Google Play.

Mas há uma advertência: o app funciona somente em devices com root liberado. Mesmo assim, os usuários devem considerar destravar seus dispositivos devido à gravidade do bug, recomendam os especialistas.

“A vulnerabilidade pode ser explorada para substituir aplicativos originais em dispositivos Android por versões maliciosas. Apps com diversas permissões – como os de fabricantes de celulares ou provedores de serviços – oferecem particularmente mais riscos”, alerta o pesquisador de segurança da Trend Micro, Jonathan Leopando. “Uma vez no dispositivo, eles podem se comportar como qualquer aplicativo malicioso. Por exemplo, um app modificado/Trojan de um banco pode continuar operando para o usuário, mas as credenciais serão enviadas para o cibercriminoso.”

A Bluebox Labs, que descobriu a vulnerabilidade, inicialmente relatou a falha exclusivamente ao Google, em fevereiro, que rapidamente incluiu o bug no Android Open Source Project (AOSP). O Google informou que está verificando os aplicativos distribuídos via Google Play. Contudo, operadoras e fabricantes precisam ainda oferecer um patch Android para seus clientes e assinantes.

De que maneira a ReKey contornou a falha? “A ReKey injeta uma pequena parte de código no framework do Android. O código dinamicamente faz o patch de classes ZipEntry e do ZipFile para realizar a interposição de rotinas vulneráveis e, assim, resolver a causa do bug”, relata a sessão de perguntas mais frequentes do site ReKey. “Em complemento à solução para o bug, a ReKey instala um sistema de alerta que avisa se o usuário quando ele está prestes a instalar um APK que explora vulnerabilidades” – em referência ao formato dos aplicativos Android (APK).

Como informado, a medida funciona somente em aparelhos com root liberado “Para bloquear a vulnerabilidade de seu dispositivo, ReKey requer privilégios escalados”, aponta o site. “ Aplicações desprivilegiados dos dispositivos Android não possuem certos privilégios, por isso a necessidade de um aparelho destravado com aplicação Superuser (ou similar).”

Enquanto a solução foi lançada para resolver a falha identificada pela Bluebox Labs, pesquisadores de segurança da informação da Android Security Squad na China divulgaram na última semana em seu blog a descoberta de uma falta semelhante utilizada para modificar o APK original, sem alterar a soma de verificação utilizada para identificar apps que ainda não foram modificados.

O ataque acontece por meio da alteração do arquivo do APK para a inserção de um campo extra. Como resultado, cibercriminosos podem disfarçar o aplicativo original que contém o malware, sem deixar nenhuma indicação de ameaça. Os pesquisadores afirmam que as falhas estão relacionadas a problemas de verificação de assinatura baseada em Java.

O Google já comunicou que resolveu o problema reportado pela AOSP. Mas quanto tempo os usuários de Android terão que esperar por uma medida a ser fornecida pelas operadoras e fabricantes?