Outra falha grave descoberta no Android, agora no Multitasking
Os últimos tempos têm sido complicados para a Google e para o Android, dado o número e a complexidade dos problemas de segurança que têm surgido.
Mas como os investigadores de segurança não param de testar e de validar os sistemas operativos, surgiu agora mais uma falha, que afecta os mecanismos de multitasking do Android. A falha é grave a afecta todos as versões mais recentes.
A mais recente falha foi descoberta por investigadores do Laboratórios de Ciber Segurança da Universidade da Pensilvânia que a apresentaram na última conferência USENIX Security 15.
Segundo o que foi apresentado, e está descrito num paper publicado (PDF), o Android tem uma falha grave nos mecanismos de multitasking, que permitem que aplicações maliciosas possam roubar dados de acesso dos utilizadores, sem que estes tenham noção disso.
Esta aplicações maliciosas conseguem simular as interfaces de outras reais e daqui em diante os dados são retirados e usados pelos atacantes.
A gravidade deste problema não está na forma como ele é explorado, mas sim no componente core do Android em que assenta, os mecanismos de controlo das tarefas de multitasking.
Os investigadores que descobriram esta falha avaliaram mais de 6,8 milhões de aplicações em várias lojas de aplicações Android e na sua maioria a falha pôde ser explorada de forma simples, sem qualquer controlo por parte dos utilizadores.
É também aqui que reside uma parte grande do problema. A totalidade dessas lojas de aplicações Android não são controladas pela Google e todas as possíveis medidas que fossem aplicadas para detectar esse tipo de aplicações não seriam abrangentes.
Mesmo que seja criada uma solução, esta teria de ser aplicada de forma unificada no Android, o que mais uma vez representa um problema, devido à elevada fragmentação que existe neste ecossistema.
A solução passa, mais uma vez, pelo cuidados dos utilizadores em instalar apenas aplicações de lojas válidas e seguras, precavendo problemas e defendendo-se.
A resposta da Google a este problema
Este problema foi endereçado à Google que o reconheceu, mas com uma indicação de que não poderá ser explorado, devido às várias medidas de segurança que aplicam na sua loja.
We appreciate this theoretical research as it makes Android's security stronger.
Android users are protected from attempts at phishing or hijacking like this (including manipulation of the user interface) with Verify Apps and Safety Net security features.
Mesmo sendo uma verdade, muitos utilizadores são obrigados a usar outras lojas de aplicações, como é o caso chinês em que a loja do Android está bloqueada, o que os impede de ter acesso a todas essas garantias de segurança.
Mesmo com toda as novidades que tem apresentado, este não tem sido um ano positivo no campo da segurança para o Android, o que deixa os utilizadores receosos pela sua segurança e pela dos seus dados.
Este artigo tem mais de um ano
Hum OK… Eu também conheço uma pior que é, caso a aplicação tenha todas as permissões no Android pode roubar tudo e mais alguma coisa… Isto é uma funcionalidade… O overflow(penso) o lazy swipe também tem isso…
mas isso de permissões já eu sei desde o tempo symbian e dos nokias com S40…o sistema avisava que certa app tem demasiadas permissões e que podia roubar dados…
o mesmo problema que no IOS com jailbreak, querem borlas já sabem ao que vão….
Não é preciso jailbreak para isto, e não é preciso uma App das “borlas”…
Não fazes ideia do que se está a falar, pois não?
Oh rapaz pensa um pouco antes de dizeres barbaridades ok?
Tanto no ios como android, este processo tem bastantes vantagens. Então eu faço root ou jailbreak ao meu aparelho pq quero ver as senhas de WIFI guardadas para partilhar com o colega do lado… sou ladrão é?!
Que p**** de ideias. Tu tens net, logo és criminoso certo? logicas…
fazer root tb faço mas para obter total liberdade no equipamento e UserInterface como por exemplo, a passagem de aplicações para o mini sd , mas como o problema está exposto nesta noticia, só aparece através de instalações fora da loja googleplay.
Deixem de ser anjinhos, pois se querem as ditas borlas já sabem ao que vão ou melhor deviam saber….
volto mais tarde com uma taça de cereais, promete bons comentários.
+1 xD
Estas “falhas” no android começam a deixar de fazer sentido, vejamos:
No Windows:
– Instalo algo com um virus < Vou dizer que o windows tem uma falha de segurança?
A responsabilidade é do utilizador daquilo que decide instalar, dentro ou fora da store oficial.
Concordais, senhores?
Não devemos pensar assim. Só porque há forma de “contornar” o problema não devemos deixar de exigir uma solução. Os utilizadores com algum conhecimento conseguem evitar em grande parte esses malwares, mas aqueles utilizadores básicos que não percebem nada disto (e acredita que há muitos) não vão saber distinguir um malware se o virem. E acho que o OS também deve ser feito com essas pessoas em mente.
E o Windows não é, de longe, o melhor exemplo de segurança, e na minha opinião isso que disseste é uma falha de segurança, pois as empresas que desenvolvem os OS têm o dever de proteger os utilizadores desses malwares, visto que estás a pagar por uma licença do software deles, acho que não é pedir muito. Por isso acho exagerado que uma licença do Windows seja 100€ + licença do Office, para aí 100€ e ainda mais uma licença de um antivírus para aí 50€. Claro que há opções gratuitas, para o Office tens o LibreOffice que é uma opção excelente, mas para o antivírus nunca encontrei uma opção gratuita que valha a pena.
Mas estas despesas em software começam a pesar na carteira das pessoas, e acho que a Microsoft/Google/Apple têm o dever de proteger os utilizadores. Tal acontece como quando compras um telemóvel Android, é muito mau estares a dar 600€ por um telemóvel que depois tens falhas de segurança, um dia queres aceder às tuas fotos e não está nada lá porque um vírus corrompeu os ficheiros todos ou algo assim.
A mim não me faz diferença porque uso iOS, OS X e Linux, que são bastante seguros, mas tenho vários amigos e familiares que usam Windows e/ou Android que vêm me pedir para lhes resolver problemas que muitas vezes estão relacionados com vírus e é um pouco frustrante o tempo que se perde naquilo, claro que muitos utilizadores não percebem nadinha do assunto, mas a segurança de um OS é feita com esses utilizadores em mente porque eu (e muitos outros utilizadores com um pouco de experiência) não instalo nada no meu computador/telemóvel sem saber a legitimidade da aplicação.
São apenas os meus dois cêntimos.
Cumprimentos.
+1
as pessoas são ignorantes e não querem se informar… acham que ter anti-virus e coisas do genero no telemovel vai fazer com que o malware não seja instalado
Se entendes que instalar uma app da store oficial é uma responsabilidade do utilizador estas a dizer que não se deve instalar nada caso contrário a responsabilidade é do utilizador… boa. 🙂
E mesmo assim nada te garante que as apps de origem não tem o mesmo problema. Mais um ponto para ti.
Tenho o Samsung Tablet 3.8 atualizações nem ve- las é uma grande falha não fazerem correções como no pc é o grande ponto fraco faz por (OTA) á um ano que tenho já se fala da versão 6.0 e nem o loolipop tenho.
Isto é um pouco rascunho, mas ok, para o pplware depois da notícia do roubo de AppleID não podia ficar por aparecer uma idêntica do Android em menos de 24 horas, para equilibrar o ego… :-p
+1
+1
muito comparável sem dúvida, comparar aparelhos em que os próprios utilizadores desabilitaram várias das defesas implementadas no sistema operativo, com a mera instalação de aplicações noutros aparelhos num sistema não modificado.
deixa lá de ser fãboy… são falhas na mesma….
uma falha criada pelo utilizador vs falha já existente no sistema!
Foste para lá assobiar, isto é só o panorama Android, só falhas de segurança, que bem ficas com elas agora….
+1
Android e iOS, cada tiro cada melro.
E o Windows phone certamente também tem os seus buraquinhos … Só que ninguém quer saber disso uma vez que a dimensão do WP em comparação com o iOS e Android, é uma gota de água num oceano…
Mais vale ser WP nesta altura 😀
Numa perspectiva do risco do utilizador, hás-de explicar em que análise te baseias para suportar esta afirmação.
Foi certamente baseado na minha afirmação. Penso que ele (o user Realista) quis dizer que, como o WP tem menos dimensão que o iOS e Android, é menos explorado por parte dos hackers na descoberta de falhas no S.O. Logo, se ninguém souber das falhas, pode-se usar o WP sem qualquer perigo, É aproveitar agora… 😎
Ok, LM, eu percebo esse ponto de vista, até porque é o que mais vou vendo por aqui. No entanto, num sentido estrito de análise de risco, diria que o facto de haver menos utilizadores não traduz necessariamente um menor risco. Um potencial ataque pode ter inúmeros objectivos e os que pretendem mais “qualidade” do que “quantidade” são porventura os mais preocupantes…
eu comprei um lumia 532, para voltar a testar o WP8.1 , meu deus que primitivo que ainda está o SO da M$!
Em relação à inexistência de aplicações nem me vou referir, o pior é que as aplicações oficiais da própria M$ são todas pré-históricas e estão a anos luz das do android ou IOS.
Tinha muita coisa negativa para expor aqui sobre o WP 8.1, mas enfim.
A unica coisa positiva do smartphone Lumia 532 é a sua robustez e preço.
Se tira fotos tem um brower e Facebook vai dar para 80% das pessoas.
E também que se possa receber e enviar chamadas e SMS/MMS
Não sei porque trazem os pobres melros ao barulho, mas se vamos por esta analogia eu diria que são tiros de caçadeira e, como tal, a lista não se resume a estes dois, mas sim estende-se a todos os sistemas, sejam eles dos mais representativos ou não. Recentemente começaram até a passar o limite dos gadgets e já atingem seres humanos!
Parem lá com as guerrinhas sem sentido…
Segurança -> BB10
em segurança é melhor… mas as pessoas querem status, estar na moda, ser igual aos outros (e dizer que são diferentes).. as pessoas gostam de ser e sentir ignorantes
“Este problema foi endereçado à Google que o reconheceu, mas com uma indicação de que não poderá ser explorado, devido às várias medidas de segurança que aplicam – na sua loja.”
Então e no resto das lojas? A vulnerabilidade foi encontrada no Android – o que é que a Google disse sobre a correcção da vulnerabilidade? O que se está a assistir é que a responsabilidade da Google se limita – ao Android instalado nos Nexus e às apps do Google Play.
O resto anda ao “Deus dará”.
O ANDROID NÃO É DA GOOGLE….. Ela só é responsável pelos smartphones vendidos com google services e afins… instalação de outras lojas é o user que faz e não a google…
se um utilizador instalar um programa fora da app store e der problema… a culpa é de quem? da apple? ou do user que foi a sitios desconhecidos e não recomendados da apple?
mais ou menos isso, mas, existe a samsung store ou algo parecido, ou seja uma store não controlada pela google.
ou outra qualquer store.
E sem falar das store “obscuras” que sim essas são mesmo sem controlo por parte da google.
uma pequena diferença. O sistema da Apple foi desenhado para só haver uma única loja em que o sistema confia, por isso qualquer alternativa que o utilizador use requer uma modificação do sistema bastante consciente.
Enquanto que o Android foi desenhado para poder aceder a diferentes fontes de aplicações, o que significa que o sistema desenvolvido pela Google necessita que certas medidas de segurança que não estejam presas a uma única loja, especialmente quando há aparelhos vendidos com outras lojas instaladas.
O Android chega às mãos dos utilizadores sem permitir a instalação de aplicações que não da play store, o utilizador pode desativar essa protecção, instalando aplicações por sua conta e risco, tal como o utilizador de iOS pode fazer legalmente jailbreak, pela tua lógica a Apple então também é responsável por permitir o jailbreak e pelas consequências que daí advêm.
O Android chega às mãos das pessoas de diferentes formas, sendo que a Play Store não é a única loja que se pode encontrar já instalada nos aparelhos.
O Jailbreak ser legal ou não, não deixa de ser uma quebra de defesas implementadas no sistema – faz modificações ao sistema – e uma quebra dos termos de uso da Apple – as pessoas fazem por usa conta e risco!
Usar outra loja no Android não é uma quebra de defesas implementadas no sistema, é aliás um feature que foi logo desde o início publicitada pela Google, no máximo será uma fonte de menor confiança de aplicações, e essas aplicações poderão aproveitar as falhas inerentes ao sistema, tal como é possível e já aconteceu que haja aplicações na loja da Google a aproveitar falhas inerentes ao sistema.
Vamos lá a pôr os pontos nos tês e os traços nos is.
Uma app “maliciosa” numa app store, Google Play ou outra, explora uma vulnerabilidade do Android. Quem é responsável por corrigir a vulnerabilidade, especialmente quando exige a actualização do SO?
Geralmente é a “santíssima trindade” Google (que tem que dispobilizar a correção) – o fabricante (que alterou o Android para cada equipamento ou grupo e agora tem lançar versões adaptadas – e o operador quando também mexeu no Android criando a sua versão.
Fora dos Nexus anda tudo ao “Deus dará”.
“Ah, mas a Google não é responsável!” É responsável pelo modelo, inseguro, de actualizações que nem a Apple nem a Microsoft seguiram.
https://pplware.sapo.pt/apple/maior-ataque-de-sempre-aos-iphones-225-mil-contas-roubadas/
vai lá apregoar para outras paragens rapaz.
um ataque a pessoas que desabilitaram medidas de segurança do sistema e ainda instalaram determinados hacks. vs Usar meras aplicações, e mesmo que sejam de lojas que não da Google o facto é que o Android foi feito para usar diferentes lojas e muitos aparelhos são vendidos com outras lojas.
Ó puto – o que eu tinha para dizer nesse post disse.
Pede a um adulto que te explique. 😉
Pronto, amanhã ficas sem recreio.
Se o motor do “meu” Mercedes avariar vou responsabilizar a Renault por ter sido lá que a Mercedes o foi buscar?
Hem? Já se te foi a argumentação, ficaste a nadar em seco 😉
Não me digas que não entendeste a analogia… eu quando me dá jeito também gosto de me fazer de desentendido, mas esta é tão básica que não podes fingir não ter entendido, por isso diz lá, responsabilizo a Mercedes a quem comprei o carro, ou responsabilizo a Renault que fabricou o motor?
Ou seja jailbreak com fontes desconhecidas, os users são uns idiotas.
Android com lojas de fontes duvidosas, o Android é só falhas de segurança.
A parte boa disto e que vocês tem piada.
Resposta a isso é apenas a super fragmentação do Android, que tem as suas vantagens e prejuizos:
Vantagens; torna um ecossistema mais diversificado e por ser aberto, qualquer empresa de hardware e de serviços consegue dar sempre um ”toque” personalizável no seu UI.
Desvantagens; a fragmentação é tanta que muitas empresas abusam e metem bloatware de qualidade duvidosa, UI’s extremamente pesados TW, alguem?, e o pior acabam nas ditas lojas alternativas à googlestore, e nestas as de origens ”obscuras” proliferam e têm na sua panóplia muitos ”doces” a oferecer ao pessoal mais inocente.
De qualquer forma, neste momento e devido ao excesso de utilizadores menos ”experientes” do Android , a Google devia advertir para que as pessoas não instalassem aplicações para alem das oficiais da sua loja ou as do XDA-developers .
A Apple responsabiliza-se pelo malware instalado fora da store official?
A opção de instalar aplicações fora da store está desativada à partida, se o utilizador pretender, pode arriscar noutras lojas, e a verdade é que ainda assim, no último ano menos de 1% dos Androids instalaram aplicações maliciosas, número que baixa para menos de 0,15% para quem só instala da Google Play, por isso, não é preciso ter medo do bicho papao.
Se a app instalado fora da store oficial estiver a aproveitar-se uma vulnerabilidade a Apple corrige-a. Isso é que é responsabilizar-se – lançou um SO tem por obrigação torná-lo o mais seguro possível (sendo que 100% seguro não existe). No Android quando é preciso intervir a santíssima trindade Google-fabricante-operador ninguém se responsabiliza.
Quanto às das apps – no iOS, só com jailbreak, que a Apple procura impedir, é que é possível instalar uma app fora do Apple Store. No caso do Android, na China Google Play nem sequer existe, e qualquer um pode-se instalar uma app de um sítio qualquer “à Lagardère”, sem precisar de rootear.
A Google também está a trabalhar em conjunto com os responsáveis por esta descoberta para corrigir esta vulnerabilidade, mas entretanto e porque parece que ainda nenhum maldoso a tinha descoberto, quem não arrisca sair da store oficial não corre grandes riscos (os tais <0,15%).
Se for preciso actualizar o SO espera sentado até que a santíssima trindade Google-fabricantes-operadores acabe de fazer a actualização em alguns equipamentos – e ficando a vulnerabilidade por corrigir na maior parte.
Se a Google fizer a parte dela, não podes apontar-lhe o dedo por os fabricantes-operadores não fazerem a deles; eu sei que dá jeito associar o Android aos fabricantes manhosos para assim atacar a Google, mas cais na analogia do motor Renault em carro Mercedes, se a Renault fizer um recall dos seus carros por causa do (mesmo) motor e a Mercedes não, a culpa é da Renault ou da Mercedes?
Quando o carro se estampar por causa de uma avaria é uma coisa que interessa muito 😉
O que interessa é se o carro é seguro, não é quem é responsável por reparar a avaria. O que importa é que circulam Androids aos montes com avarias que não vão ser reparadas e comprometem a segurança dos utilizadores.
Se o responsavel não importa, de onde veio isto ““Ah, mas a Google não é responsável!” É responsável pelo modelo, inseguro, de actualizações que nem a Apple nem a Microsoft seguiram.”?!
Oh benchas..
Tás na noticia errada.
O pplware devia criar uma secção “Fanboys” gerida por esta personagem.
O PPLWARE está a ficar pior que o Correio da Manhã!… mas mais para o Android! …