A interface gráfica do usuário em aplicativos para dispositivos móveis sempre foi uma preocupação para os especialistas de segurança digital, e até pouco tempo atrás não se acreditava que era algo que poderia ser explorado por aplicativos sem privilégios especiais em segundo plano – porém agora tudo indica que as coisas mudaram.
Estamos falando de um side channel attack (ataque “canal secundário"), que explora a possibilidade de comunicação entre aplicativos através de um canal de comunicação aberto e desprotegido antes desconhecido. Em outras palavras, esse ataque não é efetuado com força bruta nem explorando vulnerabilidades (métodos normalmente utilizados em ataques direcionados).
Esse novo ataque foi batizado de UI state inference attack (Ataque à interface do usuário através de inferência), é uma estratégia que explora o fato de que os aplicativos para dispositivos móveis mais conhecidos revelam cada mudança de estado, ou seja, cada passo (início, ingresso de dados pessoais, ingresso de dados de cartões de crédito, entre outros) é visível e pode ser interceptado por esses aplicativos espiões.
O ataque é iniciado quando um usuário descarrega um aplicativo que parece ser legítimo e que não solicita privilégios especiais. Depois da instalação, o atacante pode observar remotamente o momento em que a vítima inicia um aplicativo específico (Internet Banking, sites de compra e venda online, câmera fotográfica, entre outros), e também quando ingressa dados pessoais, dados de entrega do produto comprado e/ou qualquer informação solicitada pelos aplicativos abertos.
No vídeo a seguir (em inglês), podemos ver ataques a três aplicativos diferentes: a um site de compras online, um que rouba dados pessoais e outro que intercepta fotos tiradas pela câmera da vítima:
[youtube]http://www.youtube.com/watch?v=Bbw9AqUVRbc[/youtube]
Essa prova de conceito demonstrou ter uma taxa de efetividade que varia entre 82 e 92% nos aplicativos testados (6 de cada 7 aplicativos para Android), embora alguns aplicativos mostraram ser mais sólidos e difíceis de penetrar.
Zhiyun Qian, do Departamento de Ciências e Engenharia da Computação da Universidade da Califórnia (UC Riverside, E.U.A.), membro do grupo de investigadores que descobriram a “falha” e desenvolveram a prova de conceito, disse que: “A maioria das pessoas supunha que os aplicativos não tinham como interferir facilmente em outros aplicativos” e adicionou que “Demonstramos que esta suposição não é correta e que um aplicativo de fato pode impactar outro de forma dramática e causar danos aos usuários”.
Segundo Qian, a melhor forma de proteger-se desse novo ataque é fazendo o download somente de aplicativos de confiança e que sejam absolutamente necessários. Por essa razão insistimos na importância de somente fazer o download de apps em lojas online oficiais.
Por último, desde o Laboratório de Investigações da ESET Brasil recomendamos sempre o uso de um software de segurança para dispositivos móveis, já que hoje em dia sabemos que os mesmos contêm muitas vezes mais informação sensível que os computadores pessoais.
Autor Ilya Lopes, ESET
