Home > Notícias

Falha no browser de aparelhos Android expõe dados do usuário

Vulnerabilidade permite que site malicioso roube dados armazenados no cartão SD e em outras pastas.

PC World/EUA

24/11/2010 às 16h22

Foto:

Uma vulnerabilidade no navegador Android pode permitir que
um invasor roube dados do usuário, de acordo com um relatório divulgado na
terça-feira (23/11) pelo especialista em segurança Thomas Cannon.

Na prática, um site malicioso poderia explorar a falha para
acessar arquivos armazenados no cartão SD do aparelho, bem como “em uma lista
restrita de outros arquivos e dados armazenados no celular”, explicou Cannon.

O raiz do problema está no fato de que o navegador Android
não pede permissão ao usuário quando baixa um arquivo. “Este é um
simples exploit envolvendo JavaScript e redirecionamentos, o que significa que
também pode funcionar em diversos aparelhos e versões do Android, sem qualquer
esforço”, acrescentou.

Um vídeo incluído no site de Cannon demonstra o exploit em
ação, usando um emulador com Android 2.2, ou Froyo, mas o pesquisador disse ter
descoberto o problema em um HTC Desire, também com Android 2.2.

A Heise Security foi capaz de reproduzir o exploit tanto num
Google Nexus One quanto num Samsung Galaxy Tab, ambos rodando Android 2.2, de
acordo com um informe publicado no The H.

Para o demo, Cannon criou primeiro um arquivo no cartão SD
do aparelho Android. Em seguida, ele visitou uma página maliciosa e observou-a
coletando um arquivo e transferindo-o a um servidor.

Medidas de proteção
A Equipe de Segurança do Android respondeu em 20 minutos à
notificação da Cannon sobre a falha, e planeja entregar uma correção que será
incluída num pacote de manutenção do Gingerbread (próxima versão do Android) depois que ele estiver
disponível, afirmou.

Uma correção inicial já foi desenvolvida e está agora sendo
avaliada.

Enquanto isso, já que nem todos os fabricantes fornecem rapidamente
atualizações para o Android, Cannon sugere alguns passos que os usuários podem
seguir para se proteger, incluindo:

- Desabilitar JavaScript no navegador.
- Ficar atento a downloads automáticos suspeitos, que devem
ser sinalizados na área de notificação. “Ele não deverá ocorrer de forma
totalmente silenciosa”, lembra Cannon.
- Usar um navegador ocmo o Opera Mobile, que pede
autorização antes de baixar arquivos.
- Retirar o cartão SD.

A vantagem Android
Embora seja claramente uma vulnerabilidade que precisa ser
resolvida, há boas notícias por trás da descoberta de Cannon.

Primeiro, “não é um exploit de root, o que significa que ela só funciona dentro da caixa de areia do Android e, por isso, não pode pegar todos
os arquivos”, ressaltou. O sistema expõe apenas os arquivos no SD e em “um
número limitado de outros locais”. As pastas de sistema permanecem intactas.

Segundo, “você tem de saber o nome e a pasta do arquivo que
você quer roubar”.

Em outras palavras, o root do Linux que é alma do Android
serve para proteger o usuário de qualquer coisa maior que um dano local, e o dano local é limitado a arquivos cujos nomes e pastas são previsíveis – tal como
fotos tiradas com a câmera do aparelho.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail