Web

Google Aprova Um Aplicativo Que Rouba Todos os Seus Dados

O sistema automatizado projetado para manter software mal intencionado fora da loja de aplicativos do Google se prova fácil de contornar.

  • Sexta-Feira, 23 de Julho de 2012
  • Por Tom Simonite
  • Tradução por Elisa Matte (opinno)

O filtro automatizado do Google para aplicativos, que deveria impedir que software móvel mal intencionado aparecesse na loja de aplicativos da empresa, parece ter graves pontos cegos. O sistema escaneou repetidamente, mas deixar passar um aplicativo que furtivamente rouba dados pessoais, como fotos e contatos, relataram dois pesquisadores da empresa de segurança em computação  Trustwave na conferência Black Hat de segurança, em Las Vegas ontem.

Exploração Fácil: Sean Schulte (esquerda) e Nicolas Percoco discutiram seu aplicativo que rouba dados na conferência Black Hat, em Las Vegas.
Fonte: Technology Review

Nicolas Percoco e Sean Schulte são membros do grupo de pesquisa em "ética hacker" da Trustwave, conhecido como SpiderLabs e criou o aplicativo para verificar a capacidade do Google em vetar os software carregados em sua loja de aplicativos. A dupla disse que os resultados mostram que o Google precisa melhorar tanto seu sistema de avaliação de aplicativos quanto e seu sistema operacional Android.

Quanto mais as pessoas trocam desktops e computadores portáteis por smartphones e tablets, a segurança móvel se torna cada vez mais importante. Muitos usuários também se comportam como se tudo o que baixam da loja de aplicativos fosse seguro.

O golpe foi constrangedor para o Google, que anunciou a existência do sistema de segurança Bouncer que analisa aplicativos na loja de aplicativos da empresa em fevereiro deste ano, dizendo que no momento que estava sendo usado desde o final de 2011 com sucesso (veja "Os ataques em Android se Intensificam"). Em junho deste ano, dois pesquisadores de outra empresa de segurança, Duo Security, atacou Bouncer, fornecendo detalhes sobre como ele funciona.

Percoco e Schulte estavam mais interessados ​​em mostrar como os criminosos que esperam ganhar dinheiro com aplicativos ruins poderiam enganar o sistema Bouncer. Eles carregaram um aplicativo inofensivo para a loja de aplicativos do Google e sucessivamente o atualizarem para ser mais e mais prejudicial para ver até onde eles podiam ir antes de o Bouncer entrar em ação.

O aplicativo original, chamado SMS Bloxor, simplesmente bloqueava mensagens de texto de certos números. Bloqueio de SMS foi escolhido porque os pesquisadores queriam impedir usuários de baixar o aplicativo. Outros aplicativos - muitos dos quais eram gratuitos - já oferecem a mesma funcionalidade e SMS Bloxor custava USD $ 49,95. "Nós não queríamos ter 5.000 usuários baixando nosso aplicativo malicioso", disse Percoco. "Eu sou a única pessoa que o comprou."

A primeira versão tinha uma função simples "ligar para casa" incorporada de modo que os pesquisadores saberia se o Bouncer testou o aplicativo. Google não divulgou detalhes técnicos do Bouncer, mas disse que testa aplicativos escaneando seu código e o executando dentro de um telefone simulado para ver o que eles fazem. Isso envolve dar ao aplicativo acesso à Internet, então quando SMS Bloxor ligou para casa alguns minutos depois de ser carregado na loja de aplicativos do Google, ficou claro que o Bouncer o havia verificado. O aplicativo, em seguida, apareceu no Google Play store e estava pronto para qualquer um baixar.

Os pesquisadores, então, submeteram sete versões de atualização, cada um dos quais acrescentou mais características maliciosas. O primeiro foi capaz de enviar secretamente contatos de uma pessoa para os criadores do aplicativo. As versões seguintes conseguiram roubar mensagens de texto, copiar as informações de identificação de um celular, roubar fotos, roubar registros de chamadas, copiar a tela, e, finalmente, atacar um endereço de Internet, inundando-o com pedidos de dados, uma tática que pode derrubar sites, se muitos computadores infectados trabalharem ao mesmo tempo, conhecido como ataque de Negaçao de Serviço Distribuída (DDoS).

"Nós meio que esperávamos que em uma destas etapas, como a que roubava a tela ou a de DDoS, seria pega. E isso não aconteceu", disse Schulte. Bouncer escaneou e rodou as versões atualizadas do aplicativo, mas sempre o deixava passar. Isso provavelmente porque o Bouncer não chegou a ver o aplicativo no ​​seu pior comportamento. Embora as versões escaneadas tivessem todo o código necessário para fazer coisas ruins, os pesquisadores esperavam até depois de ele ter passado pelo Bouncer para enviar ao aplicativo as instruções finais que eram necessárias para permitir a atividade maliciosa.

SMS Bloxor foi finalmente retirado da loja depois que os pesquisadores carregaram uma versão que continuamente enviava todos os dados de um dispositivo de volta para os criadores do aplicativo, sem nunca parar. Um sistema automatizado de e-mail informou Percoco que a sua conta de desenvolvedor tinha sido suspensa e o experimento foi encerrado. Nenhum aviso foi enviado para a pessoa que tinha pago pelo aplicativo e feito o download – o próprio Percoco.

A dupla informou o Google do experimento antes da sua apresentação na tarde de ontem e se reuniu com representantes da empresa logo em seguida para discutir suas descobertas.

Percoco sugeriu que o Google poderia expandir o alcance do Bouncer e torná-lo uma função de todos os aparelhos Android, onde poderia verificar o comportamento de um aplicativo depois de ter sido instalado. Percoco também disse que o Google deveria reconsiderar o recurso que permite que novos códigos sejam enviado para aplicativos em silêncio depois de terem sido enviados ao Google Play.

Google e outros fornecedores de aplicativos inicialmente conceberam tais lojas principalmente como um modelo de negócio e nem tanto pensando em segurança coforme a concorrência para explorar o boom dos dispositivos móveis se intensificou. No entanto, o grande número de dispositivos atualmente em circulação e o papel íntimo que eles têm na vida das pessoas convenceu muitos especialistas em segurança que lojas de aplicativos em breve estarão sujeitas a significativos esforços anti criminais. Google informou no mês passado que mais de 400 milhões de aparelhos Android foram ativados desde que se tornaram disponíveis em 2008 (veja "Android chegou") e que mais um milhão deles é ativado todos os dias.

Percoco disse que o Google e outros têm tido sorte até agora e ainda tem tempo para ficar à frente da próxima onda. Por enquanto, a maioria dos exemplos de software mal intencionado consistem em ataques direcionados contra as pessoas, como os CEOs que possam ter acesso a valiosos dados corporativos. "Ao virar da esquina pode estar uma catástrofe mais generalizada que pode atingir dezenas de milhares ou milhões de usuários."


Para deixar seu comentário, por favor, regístrate ou efetue seu login

Esqueceu sua senha?

Publicidade

Vídeo

Inovadores com menos de 35 anos Brasil

Mais Vídeos

Informes Especiais

Uma Cura para os Gastos com Saúde

Os gastos com a saúde estão fora de controle. E a inovação em medicamentos, testes e tratamentos é o motivo. Mas e se a tecnologia pudesse ser uma forma de poupar dinheiro ao invés de gastá-lo?

Ganhando Com Dispositivos Móveis

Publicidade
Publicidade