Check Point descobre que antigas vulnerabilidades críticas ainda são válidas em aplicativos Android

A empresa alerta que essas brechas de segurança mantêm semelhanças de código com vulnerabilidades encontradas anos atrás, demonstrando que essas falhas podem afetar novamente os usuários

 

Compartilhar:

 

 

Pesquisadores da  Check Point descobriram que antigas vulnerabilidades críticas permanecem em vigor em centenas de aplicativos Android, incluindo alguns amplamente usados como Facebook, Instagram, Yahoo Browser ou WeChat, as quais podem permitir que cibercriminosos roubem informações relacionadas a esses aplicativos, além de conseguirem as mesmas permissões do Android a esses aplicativos como, por exemplo, a localização do usuário ou leitura de conversas.

 

A empresa analisou uma amostra de três vulnerabilidades de gravidade crítica (Arbitrary Code Execution, ou execução arbitrária de código) descobertas entre 2014 e 2016, com o objetivo de demonstrar que esse tipo de vulnerabilidade já conhecida pode persistir mesmo em aplicativos publicados recentemente no Google Play. Por meio dessa análise, os pesquisadores da Check Point identificaram padrões conhecidos associados a versões vulneráveis de código aberto descobertas anteriormente.

 

A maioria dos usuários de smartphones demonstra grande preocupação com vulnerabilidades conhecidas no sistema operacional de seus dispositivos, o que poderia permitir que um cibercriminoso ganhasse controle total sobre o smartphone, bem como para as vulnerabilidades de zero day (dia zero) que ainda não foram resolvidas.

 

Nesse sentido, a percepção comum é que, assim que uma vulnerabilidade é descoberta em um componente de software, ela é corrigida imediatamente, desde que se mantenham as versões atualizadas do sistema operacional e de todos os aplicativos, o usuário permanecerá com seu dispositivo móvel seguro. No entanto, as pesquisas realizadas pela equipe da Check Point demonstram o fato de que mesmo vulnerabilidades estabelecidas há muito tempo podem ser de importância crítica, uma vez que códigos obsoletos podem ser reutilizados inclusive em aplicativos mais populares.

 

Esclarecimentos do Instagram

 

Uma vulnerabilidade adicional do CVE-2016-3062 foi identificada pelos testes dos pesquisadores da Check Point no aplicativo Instagram (com.instagram.android). Em uma troca de mensagens entre Check Point e o Instagram, os pesquisadores foram notificados de que “houve uma confusão, pois foram criados dois patches diferentes para esse problema, um para o FFmpeg há sete anos (que não era um CVE) e outro para o libav há três anos (que era um CVE), e parece que o FFmpeg fez a segunda correção do libav e, agora, os dois patches são carregados, sendo que qualquer um deles seria suficiente”.

 

com.instagram.android Instagram 1,000,000,000+ libfb_ffmpeg.so

 

A Check Point ressalta que é importante observar que o foco dessa pesquisa estava no estado de segurança dos aplicativos no Google Play e não se concentra “em nenhuma vulnerabilidade específica e em nenhum aplicativo específico”. Isso também se aplica ao exemplo do Instagram indicado acima.

 

Por que vulnerabilidades conhecidas podem afetar os dispositivos novamente?

 

Um aplicativo móvel popular geralmente usa dezenas de componentes reutilizáveis, escritos em uma linguagem de baixo nível, como C. Esses componentes, também conhecidos como bibliotecas nativas, geralmente derivam de projetos de código aberto ou incorporam fragmentos de código desses projetos. Quando uma vulnerabilidade é encontrada e corrigida em um desses projetos, é difícil ter controle sobre as bibliotecas nativas que podem ser afetadas por essa falha de segurança ou sobre os aplicativos que usam essas bibliotecas nativas. Tudo isso significa que um aplicativo pode continuar usando a versão obsoleta do código mesmo anos após a descoberta da vulnerabilidade.

 

Assim, a investigação realizada pela Check Point em torno de três vulnerabilidades corrigidas anos atrás também conclui o fato de que essas falhas de segurança no código tornam centenas de aplicativos potencialmente vulneráveis à execução remota de código. Portanto, existem centenas de aplicativos no Google Play que podem compartilhar esse mesmo erro e, portanto, ficar vulneráveis a falhas de segurança anteriores.

 

Por outro lado, deve-se observar que o Google, atualmente, oferece apenas aos desenvolvedores a oportunidade de atualizar aplicativos, mas não exige a modificação de códigos de terceiros. Esse é um fato significativo, pois representa um sério risco à segurança do usuário.

 

Atualize regularmente aplicativos, essenciais para manter a segurança do smartphone

 

Cientes dessa situação, a Check Point (que informou às empresas dos aplicativos e ao Google) ressalta aos usuários que é essencial saberem como eles podem garantir a segurança de seus smartphones e os dados armazenados nesses dispositivos. Dessa forma, os pesquisadores da empresa apontam que manter o software do dispositivo atualizado e ter a versão mais recente disponível de todos os aplicativos é uma primeira medida de segurança. No entanto, como resultado da pesquisa da empresa, as atualizações para novas versões nem sempre são uma garantia de proteção, pois às vezes elas podem não incorporar todas as correções de segurança necessárias.

 

Por esta razão, Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Brasil, destaca que “apesar do fato de as lojas e desenvolvedores de aplicativos móveis analisarem proativamente esses programas em busca de problemas de segurança, eles geralmente dedicam menos atenção a essas vulnerabilidades críticas conhecidas há muito tempo”. O executivo reforça também que a atualização dos aplicativos é uma medida de segurança primária, mas não oferece certeza de que o dispositivo está sendo protegido no nível mais alto. “Portanto, é essencial ter ferramentas adicionais que forneçam uma camada extra de segurança”, diz Falchi.

 

 

Conteúdos Relacionados

Security Report | Overview

Serasa Experian assina acordo de aquisição da ClearSale

A transação ampliará a oferta de serviços com foco em segurança nas operações de clientes
Security Report | Overview

Eleições 2024: Cibercrime usa IA para aplicar golpes se passando por candidatos

Com a crescente sofisticação dos ataques baseados em IA, é crucial que as pessoas estejam atentas, saibam reconhecer e evitar...
Security Report | Overview

5.000 e-mails falsos imitando a Microsoft circulam nas redes, detecta laboratório

Pesquisadores da Check Point Software debruçaram-se na análise desses e-mails que podem levar ao controle de contas de e-mail, ataques...
Security Report | Overview

67% das empresas de Saúde sofreram ataques de ransomware em 2023

Relatório da Sophos revela que setor tem maior número de ataques em quatro anos. Quase 80% das empresas atacadas levaram...