O que você precisa saber
- A Microsoft expôs sérias vulnerabilidades em aplicativos Android pré-instalados com milhões de downloads.
- As falhas de segurança podem ter permitido aos invasores injetar acesso backdoor ou obter o controle de milhões de dispositivos.
- O Google e outras partes interessadas já corrigiram as vulnerabilidades.
Um monte de falhas de segurança graves em uma estrutura móvel usada para aplicativos Android pré-instalados de vários provedores de serviços móveis poderia colocar milhões de dispositivos em risco. A Microsoft tem descobriu essas vulnerabilidades, que já foram corrigidos.
A estrutura móvel afetada é desenvolvida pela mce Systems, uma provedora de gerenciamento de ciclo de vida de dispositivos omnichannel com sede em Israel. A Microsoft disse que detectou inicialmente as falhas de segurança em setembro de 2021 e informou a mce Systems, bem como os provedores de serviços móveis afetados sobre suas descobertas.
A Microsoft identificou as vulnerabilidades como CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 e CVE-2021-42601, com uma pontuação de 7,0 a 8,9 (alta gravidade).
As vulnerabilidades afetaram aplicativos com milhões de downloads, expondo potencialmente os usuários a ataques remotos ou locais. De acordo com a equipe de pesquisa do 365 Defender da Microsoft, as falhas podem ter dado aos invasores acesso backdoor ou permitido que eles obtivessem “controle substancial” sobre dispositivos vulneráveis.
“Nossa análise descobriu ainda que os aplicativos estavam embutidos na imagem do sistema dos dispositivos, sugerindo que eram aplicativos padrão instalados por operadoras de telefonia”, explicou a Microsoft. "Todos os aplicativos estão disponíveis na Google Play Store, onde passam pelas verificações automáticas de segurança do Google Play Protect, mas essas verificações anteriores não verificavam esses tipos de problemas."
As falhas de segurança foram corrigidas depois que a Microsoft trabalhou com a mce Systems e o Google. O Android Central entrou em contato com o Google para comentar e atualizará este artigo quando recebermos uma resposta.
Felizmente, atualmente não há evidências que sugiram que as vulnerabilidades tenham sido exploradas na natureza. No entanto, a Microsoft alerta que a estrutura vulnerável ainda pode existir em aplicativos de outras empresas de telecomunicações.
"Vários outros provedores de serviços móveis foram encontrados usando a estrutura vulnerável com seus respectivos aplicativos, sugerindo que pode haver provedores adicionais ainda não descobertos que podem ser afetados", disse a gigante do software com sede em Redmond.
A Microsoft adicionou que Google Play Protect agora verifica esses tipos de vulnerabilidades.
Dito isso, ele destaca os riscos associados a aplicativos pré-instalados que acompanham muitos dos aplicativos atuais melhores telefones Android e são impossíveis de remover sem acesso root.
Google Pixel 6 Pro
O Google Pixel 6 Pro é um excelente dispositivo Android, com seu design elegante e desempenho impressionante. Ele também possui uma configuração de câmera versátil com hardware atualizado, garantindo que você sempre obtenha as melhores fotos.