Falha no Android permite infectar 99% dos dispositivos móveis

A empresa Bluebox Security afirma que encontrou “a chave mestra Android”, que poderia permitir que um hacker transformasse praticamente qualquer aplicativo Android em um malicioso “zumbi”. Em outras palavras, o malware poderia permitir que hackers roubem dados e controlem remotamente funções de um dispositivo, como chamadas e mensagens. Tudo isso sem despertar a atenção do proprietário do telefone, do desenvolvedor do aplicativo ou até mesmo do Google.

Em um post no blog oficial da empresa de segurança, Jeff Forristal, chefe de tecnologia da Bluebox, explica que a vulnerabilidade se iniciou no Android 1.6 (também conhecido como Donut build). Forristal revelou que descobriu um método pelo qual um hacker pode modificar o código APK de um aplicativo sem quebrar a assinatura criptográfica usada para autenticá-lo. Em outras palavras, os aplicativos podem ser carregados com malware, mas parecer legítimos do lado de fora.

Como aplicativos verificados geralmente têm acesso completo ao sistema Android e todas as aplicações do smartphone, a falha de segurança tem potencial para ser enorme, mesmo que não seja tão fácil de ser explorada: apps listados na Google Play estão imunes a esta alteração, assim um hacker precisaria atrair um usuário para baixar uma versão maliciosa de um aplicativo de outras formas, talvez por meio de uma loja de aplicativos de terceiros ou links de aplicativos falsos.

A Bluebox informou o Google sobre o problema e este já foi corrigido no Samsung Galaxy S4, outros aparelhos, como o Nexus, ainda estão sendo observados.