Nova vulnerabilidade afeta 55% dos dispositivos Android

Na conferĂȘncia de segurança USENIX WOOT 2015 em Washington neste fim de semana, Peles e Roee Hay da IBM apresentaram uma nova vulnerabilidade de dia zero que afeta os dispositivos Android.Segurança Android

Em seu trabalho intitulado Uma classe para governar tudo, os dois pesquisadores da equipe de pesquisa de segurança de aplicativos X-Force da IBM apresentaram um PoC de CVE-2014-3153, uma vulnerabilidade que eles descobriram na classe Android OpenSSLX509Certificate.

Com essa vulnerabilidade, um invasor pode conceder maiores privilégios a um aplicativo, mas também obter privilégios de root em todo o telefone.

Os invasores podem usar a vulnerabilidade para substituir aplicativos autĂȘnticos por falsos!

Segundo os pesquisadores, um invasor pode facilmente usar essa vulnerabilidade para baixar arquivos APK maliciosos no dispositivo do usuĂĄrio e depois usĂĄ-los para substituir aplicativos autĂȘnticos, como o aplicativo do Facebook, como mostra o vĂ­deo abaixo.

O impacto da escalada de privilĂ©gios com o CVE-2014-3153 nĂŁo se limita Ă  substituição de aplicativos autĂȘnticos. Os hackers tambĂ©m podem baixar o que quiserem do dispositivo do usuĂĄrio e espionar o proprietĂĄrio, que nunca entenderĂĄ nada, como tudo acontece em segundo plano.

Segundo os pesquisadores, todas as versÔes do Android 4.3 com até 5.1 são afetadas, a saber, Jelly Bean, KitKat e Lollipop. A versão mais recente M também é vulneråvel. Isso representa cerca de 55% de todos os dispositivos Android.

Veja PoC

Nota: Tais vulnerabilidades tornam imperativo encontrar uma solução para distribuir atualizaçÔes do Android imediatamente. Em 2015, o sistema de atualização do Google é considerado inaceitåvel!