Os problemas de segurança têm afectado de forma particularmente forte a Google e o seu ecossistema móvel. São várias as situações conhecidas que revelam problemas no sistema operativo, bem como em toda a estrutura de serviços que está associada.
Surgiu agora uma nova falha, que está associada à Play Store, e que permite que um atacante force a instalação e a execução de aplicações sem que o utilizador autorize.
Este problema, apesar de estar generalizado nas versões disponíveis do Android, está a afectar de forma mais directa as versões do Android Jelly Bean e anteriores.
A falha agora descoberta permite que um atacante explore o browser do Android e que consiga que seja realizada a instalação de aplicações da Play Store sem que o utilizador tenha de dar o seu consentimento.
O problema está numa implementação incompleta doX-Frame-Options (XFO) que existe na Play Store. Este recurso destina-se a impedir a execução de scripts maliciosos dentro da loja de aplicações da Google e que assim está exposta a problemas.
A descoberta deste problema foi feita no final do ano passado e reportada na altura à Google para que a resolvesse e para que lançasse uma solução para esta falha.
Se explorada, esta falha dá ao atacante acesso ao equipamento com permissões para poder instalar e executar aplicações sem qualquer restrição e, como dito antes, sem a necessidade de qualquer intervenção por parte do utilizador.
Para que isso aconteça basta que o utilizador esteja autenticado na Play Store com a sua conta Google e que o browser a uso seja uma das versões do browser que acompanha as versões mais antigas do Android.
Dai em diante, e com apenas algumas linha de JavaScript, ou outra qualquer linguagem de programação Web, passa a ser possível explorar a falha e levar à instalação e execução de qualquer aplicação.
Segundo a descrição que existe, e que está pública, a forma mais simples dos utilizadores se protegerem é através da utilização de browsers mais recentes e onde o X-Frame-Options (XFO) está correctamente implementado. As recomendações apontam para a utilização do Chrome, do Firefox ou do Dolphin Browser.
A descrição da falha foi feita na comunidade Rapid7 e o seu autor é Joe Vennix, que alargou a exploração de uma falha UXSS já antes reportada.
Sendo que a versão do Android mais afectada é o Jelly Bean 4.3, acaba por deixar um vasto número de dispositivos expostos. Esta é, segundo informações recentes da própria Google, uma das versões mais usadas no universo Android.
As versões do Android anteriores à 4.3 estão também expostas ao problemas e padecem das mesmas falhas de segurança.
Está agora do lado da Google a criação de uma solução para resolver esta vulnerabilidade e, assim, proteger uma grande parte dos utilizadores do seu sistema operativo.