“artigo retirado do AVG Official Blogs”

por Elad Shapira

Coautoria de: Hanan Ben-nun

 

A equipe AVG Mobile Security conseguiu explorar uma vulnerabilidade relatada no SO Android que está associada com o processo de verificação da assinatura digital. A vulnerabilidade permite a modificação de um APK assinado e o transforma em malware, deixando o SO cego para a mudança.

 

Os invasores podem explorar esta vulnerabilidade para modificar qualquer aplicação legítima e assinada digitalmente e transformá-la em malware, que pode mais tarde ser usado para roubar dados ou assumir o controle do dispositivo.

 

Por exemplo, reproduzindo um golpe bem sucedido em nossos laboratórios, nossos pesquisadores foram capazes de substituírem o ícone do autêntico e assinado aplicativo do Gmail sem quebrar a assinatura digital. Abaixo, você pode encontrar um screenshot de um aplicativo do Gmail modificado, usado em dispositivos Android, usando um ícone diferente do original:

 

 

É importante notar que esta vulnerabilidade não afeta os aplicativos baixados do Google Play.

 

Um invasor não pode usar o Google Play para distribuir um aplicativo que foi modificado usando esta vulnerabilidade.

 

No entanto, os usuários do Android que baixam aplicativos de lojas de terceiros, de anexos de e-mail ou de cartões de memória estão em risco.

 

A AVG recomenda que todos os usuários verifiquem se desativaram downloads de Fontes Desconhecidas. Esta opção pode ser encontrada em Configurações -> Segurança -> Fontes desconhecidas. Os usuários devem garantir que as configurações do seu dispositivo estão como no exemplo abaixo:

 

 

Obrigado Hanan e equipe por aceitar o desafio.