Se você ainda precisa de razões para manter seu smartphone sempre atualizado, aqui vai mais uma: foi descoberta uma vulnerabilidade que permite invadir aparelhos desatualizados através do Wi-Fi sem que o dono do dispositivo faça nada de errado.

O problema, apelidado de Broadpwn, foi detalhado nesta quinta-feira, 27, por Nitay Artenstein, pesquisador da Exodus Intelligence, durante um evento sobre segurança realizado em Las Vegas, nos EUA.

Conforme explicado por Artenstein, existe uma série de falhas nos chips de Wi-Fi produzidos pela Broadcom que estão presentes em aparelhos com Android e iOS. Smartphones de ponta, como os das linhas Galaxy (Samsung), Nexus (Google) e os iPhones (Apple), poderiam ser afetados.

As vulnerabilidades tornariam possível o uso de um malware que saltaria de um dispositivo a outro sem parar. O hacker conseguiria montar o golpe configurando o vírus para que ele reescrevesse programas diretamente pelo chip e tomasse controle sobre o aparelho.

E tudo isso ocorreria sem qualquer intervenção do usuário. Ao contrário de golpes que envolvem engenharia social, a pessoa poderia ser afetada mesmo que se mantivesse longe de lojas não oficiais de aplicativos e de phishing — bastaria estar próxima o suficiente de outro aparelho infectado.

A boa notícia, conforme relata o The Guardian, é que o tal malware não conseguiria ir do firmware do chip para o dispositivo, então sua área de atuação é limitada. No exemplo mostrado por Artenstein no evento, só o que o smartphone afetado fazia após ser atacado era emitir um som constante avisando que havia sido comprometido.

Outra “sorte” em relação ao problema é que ele já foi corrigido antes que alguém pudesse descobrir se há como fazer a transição do firmware para o sistema. A versão 10.3.3 do iOS e a atualização de julho do Android deram um jeito na questão.

Um novo ataque hacker foi descoberto na terça-feira (23) pelos pesquisadores do Instituto de Tecnologia da Geórgia, nos Estados Unidos. Batizado de Cloak and Dagger, algo como “Capa e Punhal”, o ataque atinge todos os smartphones com sistema operacional Android — até a versão Nougat 7.1.2. A Google já foi informada sobre a existência do Cloak and Dagger.

Veja bem: esse ataque cibercriminoso não utiliza uma vulnerabilidade de sistema ou exploit do Android, mas sim permissões legítimas para aplicativos quando instalados no celular.

De acordo com os pesquisadores, o ataque Cloak and Dagger permite que cibercriminosos invadam um smartphone Android e, de maneira silenciosa, consigam acesso completo ao sistema operacional. Dessa maneira, eles teriam controle total do celular e poderiam roubar dados privados, incluindo senhas de banco, redes sociais, conversas, contatos etc.

Como citado anteriormente, o Cloak and Dagger se utiliza de permissões para invadir o smartphone. Se você tem um smartphone, sabe bem do que estamos falando: quando você instala um aplicativo, um menu popup aparece mostrando o nível de acesso ao aparelho que você entrega ao app. É nesse momento que o ataque cibercriminoso age.

Como o Cloak and Dagger age

Os pesquisadores do Instituto de Tecnologia da Geórgia conseguiram inserir o Cloak and Dagger em 20 smartphones Android, e nem usuários nem sistema operacional conseguiram detectar a atividade maliciosa.

Para invadir os dispositivos, o ataque utiliza as seguintes permissões:

A primeira permissão citada, como indica o The Hacker News, é uma maneira legítima que fornece ao aplicativo a capacidade de sobrepor outros aplicativos na tela do smartphone. Enquanto isso, a segunda permissão é voltada para deficientes auditivos e visuais, permitindo que o usuário utilize comandos de voz para realizar a ações ou escutar o que está na tela.

“Já que o ataque não exige um código malicioso para desempenhar tarefas trojan, ele se torna mais fácil para hackers desenvolverem e colocarem o app malicioso na Google Play Store sem detecção”, analisa a pesquisa. Os envolvidos no projeto também comentaram como conseguiram incluir o app invasor na lista de downloads da Google Play:

O aplicativo foi aprovado em apenas algumas horas na Google Play

“Nós submetemos o aplicativo exigindo essas duas permissões e possuindo uma funcionalidade ‘não ofuscada’ para baixar e executar um código arbitrário (buscando simular um comportamento claramente malicioso): esse aplicativo foi aprovado em apenas algumas horas (e ainda está disponível na Google Play)”, escreveram os pesquisadores.

Entre as capacidades do Cloak and Dagger, também estão: ataque avançado de clickjacking (roubo de clique, como uma armadilha), gravação de teclas utilizadas, ataque silencioso de phishing e instalação silenciosa de um app God Mode (controle total ao aparelho). Abaixo, você vê um vídeo demonstrando como o ataque funciona.

Google avisada; o que fazer?

Os pesquisadores deixaram claro que a Google já foi avisada, contudo essas permissões foram codificadas no Android — então uma resolução seria muito difícil. Ao que parece, a Google vai modificar essas permissões na próxima versão do sistema operacional, o Android 8.0 O, que chega ainda neste ano.

Atualização. O comentário da Google sobre o Cloak and Dagger é o seguinte: “Apreciamos os esforços em ajudar a deixar os nossos usuários seguros. Atualizamos o Google Play Protect — os nossos serviços de segurança em todos os dispositivos Android com Google Play — para detectar e prevenir a instalação desses apps. Já desenvolvemos novas proteções de segurança no Android O que vão fortalecer nossa proteção contra problemas futuros”.

Enquanto isso, siga a recomendação: preste muita atenção aos aplicativos que você baixa na Google Play Store — e mais ainda fora da loja oficial. Cheque o desenvolvedor e os comentários. Além disso, é interessante desabilitar o “SYSTEM_ALERT_WINDOW” como forma de precaução.

Para isso, siga estes passos: vá até as “Configurações” do Android, então escolha “Apps” e toque no símbolo de engrenagem no canto superior direito. Agora, toque em “Sobrepor a outros apps” e desabilite (troque o Sim por Não) para qualquer app suspeito/que não precisa da permissão.

Para mais atualizações sobre este caso, acompanhe nossa página específica sobre segurança.