Vulnerabilidade no Android permite phishing via SMS
Cuidado! Foi identificado recentemente que alguns aplicativos para o sistema operacional Android já são capazes de enganar usuários de smartphones, fazendo-os pensar que receberam uma mensagem de texto proveniente de um remetente arbitrário, quando, na verdade, estão sendo vítimas da técnica de roubo de informações sigilosas denominada como phishing. Esses aplicativos conseguem colocar qualquer tipo de conteúdo dentro dessas falsas mensagens de texto.
SMiShing: o phishing para SMS
Isso cria condições perfeitas para o phishing, ou mais especificamente, SMiShing, uma adaptação da técnica de phishing voltada especificamente para SMS. Assim sendo, um aplicativo malicioso poderia, por exemplo, construir um texto dizendo ser do PayPal e pedindo que o usuário possa inserir suas credenciais de acesso em um website falso do PayPal.
A vulnerabilidade foi descoberta pelo pesquisador de segurança Xuxian Jiang, da Universidade da Carolina do Norte, que também é responsável pela descoberta de outras numerosas vulnerabilidades do Android. O pesquisador publicou um video no YouTube demonstrando uma prova de conceito (do inglês PoC, Proof-of-Concept) de um aplicativo executado sobre a versão 4.0.4 do sistema operacional Android (Ice Cream Sandwich) e também sua versão anterior, Donut (1.6).
A versão atual do Android, Jelly Bean, também foi relatada por possuir essa vulnerabilidade. De acordo com Jiang, o aplicativo não necessita de nenhuma permissão especial.
E para piorar a situação, como toda mensagem de texto recebida pelo smartphone nunca deixa o aparelho, ela não precisa nem de um cartão SIM para ser armazenada. Jiang afirma que não existe uma maneira de detectar se uma mensagem é falsa. Enquanto o Google teria confirmado a existência do problema e prometido uma mitigação, ainda não está claro quando essa vulnerabilidade será corrigida, ou mesmo, para quais versões do sistema operacional Android, largamente difundidas no mercado embarcadas em dezenas de dispositivos diferentes (e sem possibilidade de atualização).
Entretanto, os usuários do Android não devem desistir de uma possível solicitação de atualização (pelo menos para os afortunados proprietários de aparelhos Android com a versão 4 ou superior desse sistema operacional) venha a surgir na tela.
Fonte: Heise Online (em inglês)