Foi descoberto uma vulnerabilidade no Android que pode afetar 99% dos usuários do sistemas. O time de pesquisa da Bluebox Security, startup dedicada a explorar as falhas dos sistemas operacionais móveis que podem afetar a privacidade dos usuários, encontrou uma falha no código-fonte do sistema que representa um grande risco para os usuários da plataforma caso seja explorada por hackers mal-intencionados. O bug em questão permite que um arquivo .apk possa ser modificado sem perder sua assinatura criptografada, o que quer dizer que o algum aplicativo pode ter seu instalador modificado para incluir alguma função maliciosa e o sistema irá o instalar sem duvidar de sua confiabilidade. E você já sabe onde isso pode chegar.
De acordo com o texto no blog corporativo da Bluebox, essa ameaça está presente desde a versão 1.6 do Android e persiste até as versões mais recentes, chegando a afetar 99% dos aparelhos rodando o sistema. Ela é tão perigosa porque pode permitir que um trojan se instale no sistema como se fosse um aplicativo confiável e acabe por capturar os dados do usuário como fotos, SMS e contatos ou de outros aplicativos do sistema. Isso também daria ao aplicativo malicioso acesso a algumas funções do sistemas, que poderia fazer ligações ou consumir a franquia de dados sem a consulta do usuário.
Os usuários que usam a opção “Permitir fontes desconhecidas” ativada no Android já convivem com esse risco normalmente por terem o poder de instalar aplicativos que não são assinados por desenvolvedores, mas a falha permitiria a instalação dos aplicativos sem essa opção habilitada, seja por um arquivo .apk instalado pela memória do celular ou por alguma loja de aplicativos externa.
Até o momento do desenvolvimento deste post, o Google ainda não havia disponibilizado correção para o bug, portanto, a recomendação geral é tomar bastante cuidado com o que instala no celular e evitar aplicativos de fontes desconhecidas.