De acordo com os investigadores, os programadores podem introduzir anúncios pop-up irritantes ou ataques de phishing em aplicações móveis através de uma falha de conceção no Android.
LAS VEGAS–Os investigadores descobriram o que dizem ser uma falha de conceção no Android que pode ser utilizada por criminosos para roubar dados através de phishing ou por anunciantes para colocar anúncios pop-up irritantes nos telemóveis.
Os programadores podem criar aplicações que parecem ser inócuas, mas que podem apresentar uma página falsa de início de sessão de uma aplicação bancária, por exemplo, quando o utilizador está a utilizar a aplicação bancária legítima, disse Nicholas Percoco, vice-presidente sénior e diretor do SpiderLabs da Trustwave, antes da sua apresentação sobre a investigação na conferência de hackers DefCon, hoje.
Atualmente, as aplicações que pretendem comunicar com o utilizador enquanto uma aplicação diferente está a ser visualizada apenas enviam um alerta para a barra de notificações na parte superior do ecrã. Mas existe uma interface de programação de aplicações no Kit de Desenvolvimento de Software do Android que pode ser utilizada para colocar uma determinada aplicação em primeiro plano, disse.
“O Android permite-lhe ignorar o padrão para (carregar) nos botões traseiros”, disse Sean Schulte, programador de SSL (Secure Sockets Layer) da Trustwave.
“Por causa disso, o aplicativo é capaz de roubar o foco e você não consegue apertar o botão voltar para sair”, disse Percoco, acrescentando que eles chamaram o problema de Vulnerabilidade de roubo de foco.
Os investigadores criaram uma ferramenta de prova de conceito que é um jogo, mas que também acciona ecrãs falsos para o Facebook, Amazon, Google Voice e o cliente de e-mail do Google. A ferramenta instala-se como parte de uma carga útil dentro de uma aplicação legítima e regista-se como um serviço para voltar a aparecer depois de o telefone ser reiniciado, disse Percoco.
Numa demonstração que mostra um utilizador a abrir a aplicação e a ver o ecrã de início de sessão do Facebook, a única indicação de que algo de estranho aconteceu é um piscar de ecrã tão rápido que muitos utilizadores nem se apercebem. O ecrã falso substitui completamente o ecrã legítimo, pelo que o utilizador não conseguiria perceber que algo está fora do lugar.
Com esta falha de conceção, os programadores de jogos ou aplicações podem criar anúncios pop-up direccionados, disse Percoco. Os anúncios podem ser meramente irritantes, como acontece com a maioria dos pop-ups, mas também podem ser direccionados para apresentar um anúncio quando a aplicação de um concorrente está a ser utilizada, acrescentou.
“Portanto, todo o mundo dos anúncios que lutam entre si no ecrã é agora possível”, disse Percoco, que, juntamente com Christian Papathanasiou, demonstrou um rootkit para Android na DefCon do ano passado.
De acordo com Schulte, a funcionalidade não levantaria quaisquer sinais de alerta nas permissões apresentadas quando o utilizador descarrega a aplicação, porque é uma função legítima das aplicações verificarem o estado do telefone no chamado Serviço de Atividade.
Percoco disse que os investigadores falaram com alguém da Google sobre as suas descobertas há algumas semanas e que o indivíduo reconheceu que havia um problema e disse que a empresa estava a tentar descobrir como resolvê-lo sem quebrar qualquer funcionalidade de aplicações legítimas que possam estar a utilizá-lo.
Contactado para comentar o assunto, um representante da Google disse que iria analisar a questão.
Atualização 8 de agosto de 2011 às 15:50 PT Um porta-voz da Google forneceu esta declaração: “Alternar entre aplicações é uma capacidade desejada utilizada por muitas aplicações para encorajar uma interação rica entre aplicações. Não vimos nenhuma aplicação a utilizar esta técnica de forma maliciosa no Android Market e iremos remover quaisquer aplicações que o façam.”
O porta-voz da Google também direccionou a CNET para o AppLock da Visidon como um exemplo de como essa funcionalidade é utilizada. A aplicação utiliza tecnologia de reconhecimento facial para impedir o acesso não autorizado a partes do seu telemóvel, como a aplicação Gmail. A utilização legítima da funcionalidade descrita na vulnerabilidade deste exemplo faria deslizar a interface de pedido de palavra-passe do AppLock sobre a do Gmail quando se toca nela. Uma vez que o AppLock utiliza o seu rosto como palavra-passe, deslizaria, permitiria que o seu rosto fosse reconhecido como a palavra-passe aprovada e depois deslizaria.
Atualização 8 de agosto de 2011 às 19:40h. PT A resposta de Percoco à declaração da Google: “A mudança de aplicação não é o problema. O verdadeiro problema é a capacidade de outras aplicações identificarem qual a aplicação que está em primeiro plano e depois decidirem passar à frente dessa aplicação em execução sem que o utilizador lhes dê autorização para tal. Também não vemos como poderiam determinar a diferença entre uma aplicação maliciosa e uma legítima, uma vez que ambas pareceriam quase idênticas até que um utilizador as denunciasse como maliciosas. A postura de ‘esperar até que uma aplicação seja reportada como má antes de a remover’ é perigosa e irá provavelmente revelar-se um esforço infrutífero, uma vez que os atacantes poderiam publicar aplicações muito mais rapidamente do que a Google poderia identificar e removê-las do Market”.
Seth Rosenblatt, da CNET, contribuiu para este relatório.
Source: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/