2014/08/27

Apps "inofensivas" podem roubar passwords do Gmail e outras apps


Se já sabemos que temos que nos preocupar com toda e qualquer apps que se instale, agora surge a confirmação de que os riscos podem ser bem mais preocupantes do que se pensa. Investigadores revelaram um método através do qual uma app sem permissões especiais pode roubar dados de outras, sem que os seus utilizadores se apercebam do que está a passar.

Um dos pressupostos que garante a segurança do Android (e outros sistemas mobile) é a de que cada app funciona dentro de um processo isolado que impede o acesso aos dados e funcionamento das outras apps. Só que estes investigadores demonstraram que na realidade não é bem assim.

O ataque consiste em instalar uma app que aparentemente seja legítima - e que nem sequer pede permissões especiais que façam suspeitar do contrário - mas que depois acede à memória pública utilizada para partilhar dados entre apps para fazer algum trabalho de detective e deduzir o que as apps estão a fazer.

Porque é que isso se torna num risco de segurança? É que se uma app souber o que outra está a fazer, poderá intrometer-se no processo em momentos críticos, como quando uma app está a pedir a password do utilizador. Isto é, a app maliciosa está continuamente a espreitar o que outra apps estão a fazer, e caso detecte que uma das apps visadas está a pedir esses dados, toma o controlo das operações, apoderando-se de nomes, emails, passwords, códigos, e até imagens.

Embora este ataque apenas tenha sido demonstrado no sistema Android, os investigadores acreditam que a mesma técnica poderá ser usada também nos sistemas Windows e também iOS.


... Não será fácil arranjar um compromisso entre a versatilidade para permitir a interacção entre apps e evitar que esses sistemas possam ser abusados para fazer coisas deste tipo, mas esperemos que os responsáveis encontrem forma de o fazer para que os utilizadores não tenham que recear toda e qualquer app que possam vir a instalar.

Sem comentários:

Enviar um comentário (problemas a comentar?)