Vulnerabilidade de roubo de dados no Android

O pesquisador de segurança Thomas Cannon descobriu uma vulnerabilidade que permite acesso a dados no cartão SD que afeta todos os telefones e tablets rodando Android, da versão 1.5 a 2.2, mais recente. A vulnerabilidade se aproveita do fato de que o browser nativo do Android faz download de arquivos sem pedir confirmação, com isso consegue executar um javascript localizado dentro de um arquivo html transferido, capturar e transmitir para seu servidor um arquivo arbitrário no cartão SD. Desta forma, um usuário malicioso poderia capturar dados de aparelhos rodando Android, como fotos e arquivos de configuração, incluindo usuário e senha de serviços como twitter, facebook e afins.

Veja um vídeo do exploit em funcionamento:

Android Data Stealing Vulnerability from Thomas Cannon on Vimeo.

O que torna essa vulnerabilidade crítica é a fragmentação do Android: mesmo que a Google corrija a vulnerabilidade no Android 2.3 (Gingerbread), muitos fabricantes não irão atualizar seus modelos atuais – por diversas razões, várias delas incluindo não gastar recursos com modelos ultrapassados, preferindo vender novos celulares. Veja mais detalhes a vulnerabilidade em Android Data Stealing Vulnerability | thomascannon.net.

Foto: Android FTW por Lynn Wallenstein, CC-BY-SA.