Pesquisadores de segurança da Universidade de Michigan e do Riverside Bourns College of Engineering (UCR) descobriram uma falha de segurança no Android, no Windows e no iOS que permite o roubo de informações pessoais em smartphones – inclusive no momento das transações bancárias (veja no vídeo o ataque ao aplicativo do Chase). A falha só foi conferida em telefones Android, mas a equipe tem certeza de que o mesmo método pode ser usado nos três sistemas, devido à suas semelhanças (como a capacidade de acesso à memória compartilhada dos dispositivos).
O método de invasão foi bem-sucedido em 82% a 92% das tentativas sobre sete aplicativos populares nos Estados Unidos, entre eles o Gmail, o aplicativo bancário Chase Bank e o H&R Block, usado para lançamento de impostos por firmas e pessoas. O aplicativo da Amazon teve uma taxa de sucesso de 48 por cento – foi o único considerado difícil de penetrar, diz o blog do UCR: “A suposição tem sido sempre de que esses aplicativos não podem interferir uns com os outros facilmente”, diz Zhiyun Qian, professor associado da Universidade da Califórnia no Riverside. “Nós mostramos que a suposição não é correta – um aplicativo pode, de fato, ter um impacto significativo sobre o outro e resultar em consequências prejudiciais para o usuário”.
O método de ataque começa com a instalação de um malware no dispositivo – não precisa ser complexo, um malware embutido em papel de parede servirá. “Uma vez que o app é instalado, os pesquisadores são capazes de explorar um recurso novo: as estatísticas abertas da memória compartilhada de um processo, que podem ser acessadas sem qualquer privilégio”. A memória compartilhada é um “recurso operacional comum do sistema, para permitir que os processos troquem dados. “Uma vez que o aplicativo é instalado, os pesquisadores podem monitorar as alterações na memória compartilhada e controlar a atividade do usuário em tempo real.
Para um ataque ser bem sucedido, é preciso ter duas coisas em mente: 1) Certifique-se de que as vítimas não estão cientes do fato de que estão sob ataque; 2) O ataque deve ocorrer exatamente quando o usuário está executando a ação. Sabemos que o usuário está no aplicativo bancário, e quando ele ou ela está prestes a entrar injetamos uma tela de login idêntica à do banco”, disse o estudante de doutorado em engenharia elétrica Alfred Qi Chen, da Universidade de Michigan. Os pesquisadores divulgaram vídeos de demonstração que mostram exatamente como o ataque é realizado e como credenciais de login da vítima e os detalhes do cartão de crédito podem ser furtados em tempo real. Assista.
O blog da UCR está em
http://ucrtoday.ucr.edu/24266