A empresa de segurança da informação de Boston, Rapid7, advertiu segunda-feira que milhões de smartphones e tablets com o sistema operacional Android, estão suscetíveis a uma falha de segurança que um funcionário Rapid7 chama de "um desastre de privacidade".
Tod Beardsley, diretor de engenharia da empresa, disse que a falha poderia permitir que hackers roubem dados usando os navegadores que vêm pré-instalados em telefones com Android. Isso poderia permitir que um criminoso "tenha acesso à informação sensível a partir de outras páginas da Web que o usuário tenha visitado, como cookies, senhas salvas, armazenamento local, ou quaisquer dados inseridos no site", informou Beardsley.
A falha afeta todas as versões do Android, exceto a mais recente, KitKat, lançada no ano passado. O Android é o sistema operacional mais popular do mundo para smartphones, com cerca de 85 por cento de quota de mercado global. Beardsley estimou que 75 por cento dos dispositivos Android usam versões mais antigas do software e, portanto, são suscetíveis ao erro.
A falha foi divulgada pela primeira vez no final de agosto por um consultor de segurança de software independente, Rafay Baloch. A empresa Rapid7, disse que um dos seus investigadores, Joe Vennix, já desenvolveu um exploit da falha, provando que ela poderia ser usada para roubar dados.
"Nós acreditamos que os invasores estão propensos a usá-la em estado selvagem", Beardsley disse, "então nós queríamos dar aos profissionais de segurança uma maneira fácil de testá-la para que eles possam se defender corretamente."
Muitos usuários de smartphones e tablets abrem várias páginas da Web ao mesmo tempo. O bug no Android deixaria criminosos configurar uma página Web maliciosa que poderia capturar dados armazenados em outras páginas abertas.
"Imagine que você foi para o site de um atacante, enquanto você tinha seu webmail aberto em outra janela," Beardsley escreveu no blog Rapid7. "O invasor pode capturar seus dados de e-mail e ver o que o seu navegador vê. Pior ainda, ele poderia prender uma cópia do seu cookie de sessão e sequestrar sua sessão completamente, além de poder ler e escrever com seu webmail em seu nome."
Beardsley acrescentou que não há evidências de que criminosos utilizaram realmente o bug para roubar dados, mas seria difícil saber se eles conseguiram. Uma porta-voz disse que a empresa Rapid7 não entrou em contato com a Google para anunciar diretamente sobre o bug.
ConversãoConversão EmoticonEmoticon