Falha de segurança no Android atingiu app com 1 bilhão de instalações
Microsoft alerta para falha de segurança do Android conhecida como "Dirty Stream" que foi descoberta em app com mais de 1 bilhão de instalações
A Microsoft alertou para uma nova ameaça a aplicativos para Android nesta quarta-feira (1º). Conhecida como "Dirty Stream", a falha de segurança se concentra no uso indevido de um sistema de troca de dados entre apps para roubar informações, rodar códigos arbitrários e afins. Os desenvolvedores de softwares atingidos já começaram a corrigir a brecha.
A falha foi encontrada em aplicativos populares, como o Explorador de Arquivos da Xiaomi, que tem mais de 1 bilhão de instalações, e o WPS Office, com mais de 500 milhões de instalações. Segundo a Microsoft, os apps já foram atualizados para corrigir a ameaça.
Microsoft relata falha de segurança no Android
A brecha de segurança se encontra em um mecanismo do Android, identificado pela classe FileProvider. Essa extensão é necessária para fazer a comunicação entre aplicativos para trocar arquivos e outras informações, uma vez que o sistema operacional isola os softwares para evitar conflitos e aumentar a proteção do dispositivo.
Como a própria Microsoft explica, o provedor de conteúdo oferece uma "solução confiável" quando usado corretamente. "No entanto, a implementação inadequada pode introduzir vulnerabilidades que podem permitir contornar as restrições de leitura e gravação no diretório inicial de um aplicativo", complementou a empresa.
E é aí que nasce o problema, pois a falha de segurança permitiria o uso indevido desse mecanismo para coletar informações ou rodar códigos maliciosos. Independente da forma, essa aplicação incorreta acarreta em riscos aos dispositivos e seus respectivos usuários, pois abre portas para novas possibilidades de ataques a hackers.
Desenvolvedores já começaram a corrigir a falha
A Microsoft apontou dois grandes softwares que, até então, traziam a vulnerabilidade. O maior deles é o Gerenciador de Arquivos da Xiaomi, que já teve mais de um bilhão de instalações na Play Store. O WPS Office também foi afetado e conta com mais de 500 milhões de instalações.
A empresa ainda diz que identificou "vários aplicativos vulneráveis na Google Play Store que representaram mais de quatro bilhões de instalações" e prevê que a vulnerabilidade pode ser encontrada em outros softwares. É por isso que, depois de informar aos desenvolvedores e o Google, a Microsoft publicou relatório nesta quarta-feira (1º): para alertar que a vulnerabilidade ainda pode estar por aí.
Contudo, desde fevereiro de 2024, alguns desenvolvedores começaram a aplicar as correções. É o caso da Xiaomi, que lançou a versão V1-210593 do Gerenciador de Arquivos, já sem o problema. A compilação 17.0.0 do WPS Office também foi liberada sem a brecha de segurança.
O Google também emitiu um aviso no site Android Developers, voltado para desenvolvedores do sistema operacional. "Um FileProvider configurado incorretamente pode expor involuntariamente arquivos e diretórios a um invasor", notificou a gigante das buscas.
"Dependendo da configuração, um invasor pode ler ou gravar nesses arquivos expostos, o que, por sua vez, pode levar à exfiltração de informações confidenciais ou, na pior das hipóteses, à execução arbitrária de código", concluiu a empresa.
E agora, o que fazer?
Não há bem uma lista dos aplicativos que trazem a falha de segurança. Mas, independente de ter a relação ou não, a recomendação é sempre a mesma: mantenha tanto os apps quanto o sistema operacional atualizados com a versão mais recente.
Também é importante instalar os softwares através de fontes seguras, como a Play Store e lojas de aplicativos das fabricantes. Outra recomendação é utilizar um aplicativo de antivírus para o seu celular ou tablet com Android, para fazer verificações nos apps e arquivos.
"Recomendamos aos usuários que acessaram compartilhamentos SMB ou FTP por meio do aplicativo Xiaomi antes das atualizações que redefinam as credenciais e investiguem qualquer comportamento anômalo", disse a Microsoft.
Trending no Canaltech:
- "Seios de Ozempic" são suposto novo efeito colateral do remédio
- Sul do Brasil enfrenta microexplosão atmosférica e fortes chuvas
- WhatsApp vai mostrar quais conversas ocupam mais espaço na memória
- CNU é adiado por conta das chuvas no Rio Grande do Sul
- Poco F6 Pro global surge com 16 GB de RAM e Snapdragon 8 Gen 2 antes do anúncio
- As 50 piadas mais engraçadas do Google Assistente
