Falhas descobertas nas últimas semanas reforçam a necessidade de atualizações dos fabricantes e que você use sempre a última versão dos aplicativos
Aplicativos pré-instalados expõem 146 falhas do Android
Pesquisadores da Kryptowire identificaram 146 falhas em aplicativos pré-instalados em smartphones de 29 fabricantes, incluindo a Samsung (33 falhas), a ASUS (26) e a Xiaomi (15). Essas falhas permitem captar áudios e alterar as configurações. Veja a lista dos modelos afetados aqui.
Esses problemas são críticos, pois aplicativos pré-instalados (ou de sistema) são mais difíceis de remover e contam com mais permissões de acesso do que os instalados pelo próprio usuário. As fabricantes já foram alertadas, mas apenas algumas vão efetivamente corrigir os erros, pois elas não atualizam os modelos mais antigos.
Falha de segurança permitia que aplicativos tirassem fotos ou gravassem vídeos
Pesquisadores da Checkmark* descobriram uma falha de segurança grave (CVE-2019-2234) nos aplicativos de câmera do Google e da Samsung, permitindo que sejam tiradas fotos ou gravados vídeos (com áudio) marcados com as coordenadas GPS sem a autorização do usuário, mesmo com a tela desligada e o aparelho bloqueado. E tudo isso, silenciosamente. Vídeos antigos, armazenados no cartão, também poderiam ser enviados pela internet.
Invasão das câmeras do Google e Samsung por outros aplicativos*
A falha permite que um aplicativo com a simples permissão para acessar o armazenamento do dispositivo consiga acessar também as câmeras. Infelizmente, as permissões de armazenamento são muito amplas e dão acesso a todo o cartão. Muitíssimos aplicativos solicitam essa permissão por motivos legítimos.
As câmeras do Google e da Samsung já receberam a correção necessária na própria Google Play Store. Recomenda-se que todos os usuários atualizem o Android para a versão mais recente, acessando as Configurações e procurando por “Atualização de software”.
Um vídeo .mp4 pode permitir acesso a todos os seus arquivos e mensagens
Uma falha no WhatsApp (CVE-2019-11931) pode ser abusada por um simples vídeo .mp4 e permitir o acesso aos arquivos e às mensagens do usuário, além de sequestrar o dispositivo para usá-lo em ataques DDoS. Facebook reconheceu que a falha afeta mais de 1,5 bilhão de usuários ativos.
Em outubro, havia sido descoberta outra falha que permitia aos cibercriminosos o acesso aos arquivos do usuário através de uma imagem .gif: ao abrir a galeria do WhatsApp, o dispositivo era invadido. Ambas as falhas já foram corrigidas, por isso, atualize imediatamente o seu WhatsApp.
O WhatsApp vai alertar se sua conta for invadida
Uma medida de segurança comum em outros serviços vai aparecer também no WhatsApp: quando houver a tentativa de ativação da conta em um novo aparelho, todos os outros dispositivos nos quais ela já estava ativada receberão uma mensagem de alerta.
Será mais um motivo para você ativar a autenticação de 2 fatorescaso ainda não o tenha feito. Nunca informe a terceiros os códigos de ativação: golpistas descobrem o seu número de celular na internet e pedem esse código para confirmar alguma outra operação online, como a compra e venda em sites de e-commerce. Na prática, se você enviar esses códigos aos golpistas, sua conta do WhatsApp será clonada e, entre outras coisas, você pode ser vítima de golpes de extorsão.
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
