Proponha uma correção, faça uma sugestão
Falha do Android permite instalação de Apps sem autorização
Os problemas de segurança têm afectado de forma particularmente forte a Google e o seu ecossistema móvel. São várias as situações conhecidas que revelam problemas no sistema operativo, bem como em toda a estrutura de serviços que está associada.
Surgiu agora uma nova falha, que está associada à Play Store, e que permite que um atacante force a instalação e a execução de aplicações sem que o utilizador autorize.
Este problema, apesar de estar generalizado nas versões disponíveis do Android, está a afectar de forma mais directa as versões do Android Jelly Bean e anteriores.
A falha agora descoberta permite que um atacante explore o browser do Android e que consiga que seja realizada a instalação de aplicações da Play Store sem que o utilizador tenha de dar o seu consentimento.
O problema está numa implementação incompleta doX-Frame-Options (XFO) que existe na Play Store. Este recurso destina-se a impedir a execução de scripts maliciosos dentro da loja de aplicações da Google e que assim está exposta a problemas.
A descoberta deste problema foi feita no final do ano passado e reportada na altura à Google para que a resolvesse e para que lançasse uma solução para esta falha.
Se explorada, esta falha dá ao atacante acesso ao equipamento com permissões para poder instalar e executar aplicações sem qualquer restrição e, como dito antes, sem a necessidade de qualquer intervenção por parte do utilizador.
Para que isso aconteça basta que o utilizador esteja autenticado na Play Store com a sua conta Google e que o browser a uso seja uma das versões do browser que acompanha as versões mais antigas do Android.
Dai em diante, e com apenas algumas linha de JavaScript, ou outra qualquer linguagem de programação Web, passa a ser possível explorar a falha e levar à instalação e execução de qualquer aplicação.
Segundo a descrição que existe, e que está pública, a forma mais simples dos utilizadores se protegerem é através da utilização de browsers mais recentes e onde o X-Frame-Options (XFO) está correctamente implementado. As recomendações apontam para a utilização do Chrome, do Firefox ou do Dolphin Browser.
A descrição da falha foi feita na comunidade Rapid7 e o seu autor é Joe Vennix, que alargou a exploração de uma falha UXSS já antes reportada.
Sendo que a versão do Android mais afectada é o Jelly Bean 4.3, acaba por deixar um vasto número de dispositivos expostos. Esta é, segundo informações recentes da própria Google, uma das versões mais usadas no universo Android.
As versões do Android anteriores à 4.3 estão também expostas ao problemas e padecem das mesmas falhas de segurança.
Está agora do lado da Google a criação de uma solução para resolver esta vulnerabilidade e, assim, proteger uma grande parte dos utilizadores do seu sistema operativo.
Este artigo tem mais de um ano
Loading ...
Falha no Android?
Deve ser mito 🙂
Interessante era dizer qual a % total de dispositivos Android estão presos à versão 4.3.
O problema Android é este mesmo, não é que seja mau SO, simplesmente a fragmentação das versões, e a impossibilidade de alguns updates serem para todos na hora, torna o dispositivo um brinquedo de criança.
Quando se quer é vender, os aparelhos mais antigos são esquecidos…
Bem, acontece com muitos dispositivos é verdade, mas os da alta gama estão a ser actualizados. Por exemplo a Samsung: primeiro foi o Note 4 e o Edge, de seguida o S5,depois saiu para o Note 3, a duas semanas o S4 foi actualizado, e agora vai sair para o Note 2 e S3, e o S2, note e S pode não haver oficial mas podes usar o CM12 e não precisas de te preocupar com a garantia porque esses já não tem.
Mas é normal os telemóveis de gama média ou mais baixa não ter.
Estão a ser atualizados… com que atraso?
Além disso, são atualizações que muita gente queixa-se que deixam os aparelhos a funcionar mal!
Tu do dizes o que te convém. A tua linda Apple quando actualizou para o 7 deixou os 4 a funcionar pessimamente, tive centenas de clientes a pedir um downgrade, e o mesmo aconteceu com o 8. Claro que ao fim de algum tempo são novamente actualizados e corrigidos.
Isso de muita gente se queixar da actualização é igual para todos e relativa, digo-te que também muita gente se queixa da actualização do 8. Nem toda a gente gosta de evolução e nem todos estão preparados para isso.
Em relação ao atraso, já expliquei que a Samsung tem que fazer as suas alterações, ela não usa o Android puro, que é o caso do Nexus ou do iPhone que a Apple só actualizou 4 dispositivos, enquanto a Samsung tem que actualizar 12 oficialmente, e isto só dos acima dos 350 euros, fora os que tem sem ser oficial.
Outra questão é que a tua Apple actualiza um SO feito por eles que só dá em 6 dispositivos, enquanto a Samsung tem que actualizar um SO de terceiros.
Pois ficas a saber que no caso da HTC, o update (pelo menos para o One) foi adiado por quererem lançar (com a devida “junção” ao HTC Sense) já sem os problemas que o Lollipop estava a ter. Na minha opinião, é preferível esperar mais 1 bocado e receber 1 update sem bugs (ou major bugs) do que ir com o fogo no c… para se ter a última versão do SO quando este ainda tem várias falhas.
Por exemplo a Samsung, tem smartphones à venda com Jelly Bean e que nem sequer vão ter o kitkat!
Rui podes comparar o preço desse com a gama alta? Não podes comprar dispositivos que custam 100 euros com dispositivos que custam 600.
Se estão à venda equipamentos que á partida já tem problemas de segurança estes nem deveriam ser autorizados a estar nas lojas… digo eu.
Imagina o que era teres automóveis à venda e teres artigos que explicavam que esses mesmos automóveis tinham as falhas A, B ou C. Faz sentido? A mim não… especialmente sabendo que não vão ter suporte.
Porque é que se custar 100€ não podes esperar por este tipo de suporte? Se comprares um electrodomestico de 10€ numa worten não tens direito a garantia?
E os equipamentos não tem garantia? Estás a dizer que um Ferrari tem o mesmo nível segurança de um Fiat Punto? É que são os dois feitos e desenhados na mesma fábrica. Ah e ambos têm garantia de 5 anos. Por isso o teu exemplo em nada reflecte a realidade.
Não estou a falar de segurança tipo crash test mas sim o simples abrir de uma porta.
Repara, tens versões Android que estão a ser vendidos que tem problemas de segurança, ou seja, alguém pode explorar vulnerabilidades para roubar dados, e não há suporte que corrija isso
“Está agora do lado da Google a criação de uma solução para resolver esta vulnerabilidade e, assim, proteger uma grande parte dos utilizadores do seu sistema operativo.”
Oh.. era bom era, a solução para mim foi “congelar” o browser.
Lol, não interessa para nada…
Os utilizadores android deste site estão mais interessados em mandar bocas para as falhas do iOS…
O que nao falta sao utilizadores do iOS a assobiar para o lado! 🙂
Podemos eliminar o browser de origem e substituir pelo Dolphin Browser?
Dá para root access?
Não há problema, decerto que haverá uma comunidade que irá corrigir isso (ou não) 🙂
É a vantagem de se poder manipular o SO à medida do utilizador e de quem está de fora… LOL
Antes que me critiquem, estou a escrever dum Mac e a olhar desconfiado para o Android 4.2 que tenho aqui ao lado, que espera e desespera pela actualização prometida à uns meses atrás para o kitkat.
Não é um mau SO, simplesmente tem é alguns problemas difíceis de tratar.
Apos dizerem que o android era pior que o WP resolvi comprar um e constatei que nao passa de uma mentira, motivos:
-n ha apps de jeito para wp
-as apps que ha sao muito piores (ex: spotify so da para tocar random music enquanto que no ios da para escolher)
– n da para enviar ficheiros por skype ou facebook (apenas fotos)
– n permite ver videos em stream gratuitamente, e mm no tlm as legendas ficam horriveis.
– a app de musica do WP e horrivel, cheia de lag e bugs.
– o browser IE nem permite downloads para o tlm
– n ha uma app de permita editar album covers ou playlists
– falta de apps oficiais e excesso de apps duvidosas
– n permite ver o que ha de novo quando se faz update a uma app, nem os comentarios todos.
– nao tem multitasking, nem um simples temporizador como o IOS ou android
– nao permite usar folders dentro do menu ficando uma lista enorme de icones alfabeticamente mas que quando se esquece um nome e horrivel.
– a bateria nao dura muito comparado com o IOS ou mesmo android
– nao permite uma app de gravacao de voz corra em background estando a fazer outra coisa qualquer
– nao permite enviar fotos em full resolucao por email (manda uma versao comprimida da foto)
– a bateria nao dura muito comparado com o IOS ou mesmo android
Quando a iOS, é impossível comparar, porque não há iPhones (exactamente o mesmo hardware) com Windows Phone ou Android…
Mas procurando no Google, encontras logo:
https://pplware.sapo.pt/informacao/esta-provado-que-android-gasta-mais-bateria-que-windows-phone/
O wp e bom para avos ou pessoas que fazem pouco no tlm, e nto limitado
Também não usa corretor ortográfico? xD
Concordo com algumas coisas que dizes… e na minha opinião, com o Windows 10, o segmento móvel (telemóveis/tablets), aí é que a Microsoft vai dar um enorme passo em relação ao que temos acesso hoje em dia
eu com esta versao do windows 8 para pc e wp8.1 desisti completamente da microsoft, comprei um macbook pro retina e para tlm o android apesar dos seus defeitos e mto mais completo. nem enviar uma foto por email da para fazer? isso foi a gota de agua
????? Não da para enviar foto por email no wp????? Top… piada do dia…. com comentários destes acho que ninguém te leva a sério mesmo lol…
Acredito que não gostes de Windows phone …. e tens todo o direito a isso… mas critica com argumentos válidos… é que nada do que dizes e verdade…. a única coisa que posso concordar um pouco contigo é a falta de apps… pois o resto não tens razão em nada jovem…
Quando vejo esta noticia e depois me lembro desta… https://pplware.sapo.pt/informacao/decisao-da-google-deixa-milhares-de-utilizadores-android-em-risco/
Acham mesmo que a Google vai-se “mexer” e ajudar as pessoas? Esqueçam…
Atenção… não tenho android nem iOS… tenho symbian !
andas atrasado no tempo rapaz, a menos que ainda uses o nokia 808, grande tlm!