Bug no Skype para Android abre caminho para invadir dispositivos

A falha faz com que um invasor possa entrar no dispositivo desviando da senha de trava de tela ao ligar via Skype para o equipamento

Um bug na versão para Android do aplicativo de comunicação Skype permite que um invasor consiga passar pela trava de tela de vários dispositivos móveis que utilizam o sistema operacional da Google. A falha foi reportada por “Pulser,” o administrador de desenvolvimento do XDA-Developers Forum, na versão 3.2.0.6673 do Skype, que foi liberada na semana passada.

Segundo a Microsoft, o Skype está instalado hoje em mais de 100 milhões de dispositivos Android. Para que o invasor possa se aproveitar da falha, o smartphone ou tablet da vítima precisa estar com o Skype ligado. Nesse caso, o atacante pode então fazer uma ligação para o dispositivo, que vai exibir na tela o botão verde para atender.

Quando o usuário clica no botão para atender, o invasor vai desligar. Mas, a partir daí, mesmo que o dispositivo seja ligado ou desligado pelo botão de power, o invador terá controle sobre o dispositivo, passando pela trava de tela. Para eliminar o problema é preciso fazer um reboot do equipamento.

A falha foi demonstrada com sucesso pelo Pulser nos equipamentos Sony Experia Z, Samsung Galaxy Note 2 e Huawei Premia 4G. A Microsoft ainda não comentou sobre o assunto.

Esse tipo de bug, que permite a um invasor passar pela senha de tela do dispositivo não é incomum. Uma vulnerabilidade similar foi encontrada no rival do Skype, o Viper em abril, segundo reportagem da Ars Technica. A falha afetava smartphones da Samsung, Sony e HTC. Em março, a configuração de função de chamada de emergência dos celulares Android da Samsung também abriu o flanco para facilitar o destravamento da senha dos dispositivos.

“Estou surpreso que ainda continuemos a achar esse tipo de vulnerabilidade que pode ser explorado por apps de terceiross”, diz Lee Cocking, vice-presidente de estratégia de segurança móvel da Fixmo “Isso para mim denuncia falhas na arquitetura de segurança geral da plataforma, ou pelo menos falhas na forma como a plataforma lida com processos internos usados por aplicativos de VoIP (Voice over IP) ao lidar com o Android”.

Jack E. Gold, analista da J. Gold Associates, disse que os problemas recorrentes da trava de tela dos dispositivos demonstra a necessidade de implementar novas camadas de segurança em dispositivos que carregam dados corporativos. Isso é crítio quando os funcionários usam seus próprios aparelhos no trabalho. “A melhor alternativa é segregar as apps de negócios e os dados do consumidor em alguma forma de virtualização ou containers que isolem o lado corporativo das coisas”, disse ele.

 

Por IDG Now! – Publicado em 08/07/2013

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s