Essa técnica pode, teoricamente, ser utilizada para phishing por SMS, um tipo de ataque onde são solicitados aos usuários informações sigilosas ou para se inscreverem em serviços pagos por meio de uma mensagem SMS maliciosos que parecem com mensagens originais enviadas por fontes confiáveis.
Segundo o pesquisador em segurança da Symantec, Mario Ballano, no entanto, as aplicações detectadas até agora utilizam a técnica para outros propósitos, como exibição de publicidade.
Na sexta-feira passada, pesquisadores da Universidade da Carolina do Norte anunciou que descobriu uma vulnerabilidade do Android Open Source Project (AOSP) chamada de “smishing” (SMS phishing) – o código serve como base para a maioria dos firmaware Android criados por fabricantes de telefones.
A vulnerabilidade possibilita rodar um aplicativo sem que necessite de permissões para escrever uma mensagem de texto com um endereço de remetente arbitrário e conteúdos maliciosos no inbox de SMS do usuário.
"Acreditamos que tal vulnerabilidade pode ser facilmente explorada com o intuito de lançar vários ataques de phishing", disse um professor associado ao Departamento de Ciência da Computação da Universidade da Carolina do Norte, Xuxian Jiang. A equipe de segurança do Android foi notificada e confirmou que uma mudança será feita na próxima versão do OS, com o intuito de acabar com esse comportamento.
No entanto, o código gera tais mensagens SMS localmente foi publicamente documentado e usado desde agosto de 2010, disse Ballano. "Registramos mais de 250 aplicativos que contêm o código que utiliza essa técnica, incluindo 200 que estão atualmente disponíveis no Google Play, com milhões de downloads combinados", disse o pesquisador. "Alguns desses aplicativos utilizam o código para melhor integrar mensagens de texto com mensagens instantâneas ou outros serviços online. A vasta maioria utiliza um kit de desenvolvimento de software (SDK) para redes de anúncios, que enviam publicidade diretamente para a caixa de entrada do usuário."
Ainda assim, a Symantec ainda não detectou um aplicativo que utiliza a técnica de SMS phishing. Mas os usuários devem ficar atentos a qualquer mensagem suspeita que receberem, até que o Google solucione a questão, recomendou Ballano.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário