A modularidade e abertura do Android é uma das suas maiores qualidades, mas ao mesmo tempo uma das suas maiores falhas.
No seguimento de outras falhas recentemente descobertas, surge agora mais uma, que está a surgir fruto de um problema na SDK de desenvolvimento do Baidu e que afecta 100 mil dispositivos.
A nova falha vem do Moplus, a SDK que a Baidu disponibiliza para a criação de aplicações Android. Mesmo não sendo uma SDK pública, muitas aplicações foram já criadas com base nela.
Das mais de 14 mil aplicações criadas com recurso ao Moplus apenas 4 mil são da responsabilidade da Baidu, sendo as restantes responsabilidade de outros programadores.
A falha foi descoberta pela Trend Micro e baseia-se num comportamento desta SDK que lança um servidor HTTP nos dispositivos Android onde estas aplicações estão instaladas. Este servidor não usa qualquer tipo de autenticação aceita comandos directos da Internet, sem qualquer verificação.
Estes comandos podem ser usados para obter dados sensíveis dos utilizadores, como mensagens, chamadas ou localizações.
Mas o pior é que permite ainda que sejam adicionados novos contactos, submetidos ficheiros, realizadas chamadas, apresentadas mensagens falsas aos utilizadores ou até instaladas aplicações.
No caso de dispositivos que tenham root feito, a SDK permite a instalação de aplicações de forma silenciosa, sem que sejam apresentadas as notificações de instalação, sendo por isso o problema ainda maior e mais difícil de combater.
Os investigadores da Trend Micro descobriram também o primeiro malware que explora esta falha e que está já a atacar, conseguindo instalar aplicações não desejadas. O nome pelo qual este malware é conhecido é ANDROIDOS_WORMHOLE.HRXA.
A Trend Micro acredita que esta nova falha, do Moplus poderá ser ainda pior que o Stagefright, descoberto no início deste ano. O Stagefright obrigava a que os atacantes enviassem mensagens multimedia com código malicioso ou que levassem os utilizadores a clicar em certos links.
Para poderem explorar a falha do Moplus os atacantes só precisam de enviar pedidos HTTP para todos os endereços IP das redes dos operadores móveis e rapidamente encontram as suas vítimas.
Tanto a Google como a Baidu foram alertadas para este problema e a empresa chinesa apressou-se a resolvê-lo, lançando uma nova versão da sua SDK, já com o problema resolvido.
A Baidu corrigiu também todas as suas aplicações para que usem já versão corrigida da sua SDK, eliminado assim o problema.
Mas mais uma vez o problema será difícil de erradicar, uma vez que muitos dos programadores que usaram a versão anterior da SDK não vão actualizar as suas aplicações.