Segurança Cibernética

Tempos negros para o Android: entenda as ameaças do Certifi-gate e das novas atualizações do Stagefright

Lisandro Carmona de Souza, 5 Setembro 2015

Tempos negros para o Android: entenda as ameaças do Certifi-gate e das novas atualizações do Stagefright

Certifi-gate e Stagefright são duas ameaças recentes que colocaram muitos aparelhos Android em risco. Foto via Ars Technica.



Quando o assunto é segurança, parece que o Android já viu dias melhores. Várias falhas e ameaças foram descobertas recentemente, colocando milhões de usuários Android em risco. O Certifi-gate e o Stagefright são duas ameaças que, quando não se dispõe de proteção, podem levar a uma significativa perda de dados.


O Certifi-gate remove as permissões de outros aplicativos e consegue controlar remotamente o aparelho.


O Certifi-gate é um malware (Trojan) que afeta o Sistema operacional Android de uma forma assustadora. Os aparelhos Android com o Jelly Bean 4.3 ou uma versão mais nova são afetados por esta falha, o que significa que 50% de todos os usuários Android estão vulneráveis aos ataques ou seus dados pessoais podem estar comprometidos.


O que é assustador neste bug é que o ataque é muito fácil: o Certifi-gate necessita acesso à internet para conseguir controlar remotamente os seus aparelhos. O ataque acontece em três etapas:

  1. Um usuário instala um aplicativo vulnerável que contém uma acesso oculto ao aparelho Android


  2. Um servidor controlado remotamente assume o controle deste aplicativo aproveitando-se deste acesso oculto inseguro


  3. Através do acesso remoto, o Certifi-gate obtém as permissões que os outros aplicativos já tinham para obter mais poderes (isto é, mais permissões) e fazer uso dos dados pessoais dos usuários. Um bom exemplo de aplicativo vulnerável ao Certifi-gate é o TeamViewer, um aplicativo que permite que você controle remotamente o aparelho Android.




A boa notícia é que o Avast Mobile Security bloqueia a instalação de pacotes que tornam possível ao Certifi-gate abusar das permissões de outros aplicativos. Bloqueando esses pacotes, o Avast Mobile Security impede que a ação indicada no passo 2 acima seja executada, tornando impossível que um servidor remoto assuma o controle de um aplicativo inseguro que contenha o acesso oculto vulnerável.


A correção do Google para o Stagefright não funciona


Já sabemos do bug chamado Stagefright, que expôs cerca de 1 bilhão de aparelhos Android ao ataque de malwares. Enquanto o Certifi-gate utiliza o acesso à internet para controlar o seu aparelho, o Stagefright precisa apenas o número do telefone para infectar os usuários.


Pela gravidade desta ameaça, a Google rapidamente forneceu uma atualização de segurança que pretendia solucionar o problema do Stagefright de uma vez por todas. Infelizmente, ela não teve tanto sucesso: é possível burlar a atualização, o que deixa os usuários do Android com a falsa sensação de segurança, mas com um aparelho vulnerável.


O pesquisador de segurança da Avast, Filip Chytry, explicou no artigo original sobre o Stagefright, o Avast sugere como medida de precaução que os usuários desabilitem a função de “auto recebimento de MMS” nas configurações do aplicativo de mensagens. Você pode ler as instruções completas para se proteger contra o Stagefright em nosso blog.


Siga o Avast no Facebook, Twitter, YouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.