A equipe de pesquisas da Check Point descobriu uma vulnerabilidade em um dos aplicativos pré-instalados da Xiaomi, um dos maiores fornecedores de smartphones do mundo. A empresa teve quase 8% de participação de mercado em 2018, ocupando o terceiro lugar em telefonia móvel, com 118,7 milhões de unidades vendas no ano passado. A vulnerabilidade está no aplicativo de segurança “Guard Provider”, que deveria proteger o telefone contra malware, e foi descoberta pelo pesquisador Slava Makkaveev.
Ele conta em seu artigo sobre o tema que “devido à natureza insegura do tráfego de rede do Guard Provider e ao uso de vários SDKs (software development kits) no mesmo aplicativo, um atacante poderia se conectar à mesma rede Wi-Fi da vítima e fazer um ataque do tipo Man-in-the-Middle (MiTM) – quando os dados trocados entre duaspartes são de alguma forma interceptados”.
Em razão de falhas na comunicação entre os vários SDKs, o atacante poderia, então, injetar qualquer código nocivo, para roubo de senha, ransomware, rastreamento ou qualquer outro tipo de malware, disse o pesquisador.
“É fundamental que os usuários atentem para a segurança dos dispositivos móveis da mesma forma que o fazem com seus computadores pessoais. Há muitas informações delicadas que podem ser expostas pelo simples fato de utilizarmos uma rede de wi-fi pública como em um café ou em um aeroporto, por exemplo”, alerta também Vinicius Bortoloni, Security Engineering Manager da Check Point Brasil.
Tal como todos os outros aplicativos pré-instalados como o Guard Provider, esse tipo de app está presente nos dispositivos móveis prontos para uso e não podem ser excluídos. A Check Point divulgou esta vulnerabilidade inicialmente à Xiaomi, que lançou um patch pouco depois para resolver o problema.
Os prós e contras dos SDKs
Conforme o artigo de Makkaveev, “um kit de desenvolvimento de software (SDK) é um conjunto de ferramentas de programação para ajudar os desenvolvedores a criar aplicativos para uma plataforma específica. No caso de dispositivos móveis, os SDKs definitivamente ajudaram os desenvolvedores, eliminando a necessidade de perder tempo escrevendo código e desenvolvendo estabilidade de back-end para funcionalidades não relacionadas ao núcleo do aplicativo”.
“De fato, à medida que mais e mais SDKs são desenvolvidos, novos recursos e oportunidades se apresentam aos desenvolvedores de aplicativos e, finalmente, adicionam melhor funcionalidade aos usuários finais”.
“Mas, à medida que também mais e mais códigos de terceiros são adicionados ao aplicativo, o esforço para manter o ambiente de produção estável, protegendo os dados do usuário e controlando o desempenho, fica muito mais complexo”.
“Conhecido como ‘SDK Fatigue’, esse aumento no uso de vários SDKs no mesmo aplicativo torna o aplicativo mais suscetível a problemas como falhas, vírus, malwares, violações de privacidade, esgotamento de bateria, lentidão e muitos outros problemas”.
“As desvantagens ocultas de usar vários SDKs no mesmo aplicativo residem no fato de que todos compartilham o contexto e as permissões do aplicativo. Essas principais desvantagens são:
- Um problema em um SDK comprometeria a proteção de todos os demais;
- Os dados de armazenamento privado de um SDK não podem ser isolados e, portanto, podem ser acessados por outro SDK”.
“De acordo com um relatório recente, o uso de vários SDKs em um único aplicativo é muito mais comum do que se imagina. Em média, um único aplicativo agora tem mais de 18 SDKs implementados no mesmo aplicativo. Mas, ao fazer isso, os desenvolvedores deixam as organizações e os usuários expostos a possíveis armadilhas que podem ser exploradas pelos agentes de ameaças para interferir na operação regular do dispositivo”.
2+2=4? Nem sempre
“Embora não se espere que o pessoal de segurança de TI de uma organização conheça os detalhes precisos dos SDKs usados para criar os aplicativos que os funcionários podem colocar em seus dispositivos, eles devem estar cientes de que a maneira como os aplicativos são criados pode ter sua própria segurança oculta. Por enquanto, pode-se supor que elementos usados mesmo dentro de um aplicativo de segurança sejam todos seguros, como visto na vulnerabilidade acima nos aplicativos pré-instalados do Xiaomi, isso está longe de ser o caso”.
A única defesa contra esses tipos de ameaças ocultas e obscuras é garantir que a quantidade de dispositivos móveis da sua organização esteja protegida contra potenciais ataques Man-in-the-Middle.
“O Check Point SandBlast Mobile detectaria e evitaria tais ataques, eliminando assim as possíveis ameaças causadas pelo uso de vários SDKs no mesmo aplicativo”, conclui Bortoloni.
