File Manager da Xiaomi entre as aplicações com milhares de milhões de instalações vulneráveis a ataques

A Microsoft deixa um alerta para múltiplas aplicações populares de Android que têm vulnerabilidades que permitem a execução de aplicações maliciosas, capazes de reescrever ficheiros no diretório principal das mesmas. Os equipamentos ficam dessa forma vulneráveis à execução de código e ao roubo de tokens, dependendo da implementação da aplicação, ataque conhecido como Dirty stream attack, explica a gigante tecnológica no seu blog.

Através da possibilidade de executar código, um hacker pode tomar total controlo sobre o comportamento da aplicação. Por outro lado, o acesso aos tokens pode levar os atacantes a aceder às contas do utilizador e respetivos dados sensíveis.

Foram identificadas várias aplicações vulneráveis disponíveis na Play Store da Google, que somam cerca de quatro mil milhões de instalações, mas este padrão de vulnerabilidades pode ser encontrado em outras apps. A investigação da Microsoft foi partilhada para ajudar os developers e editoras a verificar as suas apps para problemas semelhantes e dessa forma proceder às respetivas correções. E a própria Google também disponibilizou o guia para os developers.

Na lista de aplicações identificadas pela Microsoft com este padrão de vulnerabilidade consta o File Manager da Xiaomi que soma mais de mil milhões de instalações e o WPS Office com mais de 500 milhões. Nestas duas aplicações, os investigadores conseguiram mesmo obter a execução arbitrária do código. Depois do alerta, as respetivas empresas já corrigiram a vulnerabilidade, entretanto verificada pela Microsoft. Os utilizadores foram alertados para atualizar as mesmas.

O problema descoberto afeta aplicações Android que partilham ficheiros com outras apps. Para facilitar a partilha de forma segura, o sistema operativo Android implementa uma funcionalidade chamada “content provider” que funciona como uma interface para gerir e expor os dados de uma app a outras aplicações instaladas no equipamento. Esta determina o caminho para as apps terem acesso aos dados.

Essa app maliciosa controla o nome, assim como o conteúdo do ficheiro, podendo enganar o sistema e permitir reescrever ficheiros críticos no espaço de dados privados do utilizador, levando a consequências sérias, refere a Microsoft. E basta olhar para o perigo que o File Manager da Xiaomi esteve exposto, por ser a principal aplicação de gestão de ficheiros da fabricante chinesa. Esta aplicação pede várias permissões, incluindo a capacidade de instalar outras apps.