Pesquisador demonstra como invadir celulares Android com uma simples página web

O pesquisador de segurança, M J Keith, da empresa Alert Logic, divulgou nesta quinta-feira um código que pode ser usado para invadir dispositivos baseados na plaforma Android. O código em questão pode ser embutido em qualquer página web, de forma que apenas por acessá-la, a vítima terá seu aparelho comprometido. Abaixo segue um vídeo de Keith demonstrando seu código.

A divulgação feita por Keith fez parte de sua apresentação na conferência de segurança HouSecCon que acorre durante essa semana em Houston, EUA. O código do ataque exposto por Keith é baseado na vulnerabilidade CVE-2010-1807. Essa vulnerabilidade trata-se da execução remota de código através da exploração de uma falha no tratamento de uma variável de ponto flutuante do WebKit. O WebKit é a plataforma sobre a qual são construídos muitos navegadores web famosos, como o Safari da Apple e o próprio novegador nativo do Android. Dessa maneira, keith utilizou os princípio básicos da falha e criou um página web especial que, quando acessada por um celular Android, o aparelho responde executando um comando arbitrário inserido pelo atacante.

Brasileiros Vulneráveis

Apesar da falha divulgada por Keith ter sido corrigida na última versão do Android (firmware 2.2), os usuários Brasileiros tem muito com o que se preocupar. No Brasil a adesão à versão 2.2 do Android tem sido muito baixa. Praticamente todos os aparelhos nacionais se limitam a versões 2.1 e inferiores, vulneráveis ao ataque de Keith. Isso se deve principalmente à recusa dos fabricantes de oferecer atualizações no Brasil. A própria Motorola, fabricante do Milestone, estrela dos smartphones baseados em Android, disse em nota oficial que não haverá nenhuma atualização para seu aparelho no Brasil além da versão 2.1. Vamos esperar que mudem de postura!

Esta entrada foi publicada em Outros e marcada com a tag , , , , , . Adicione o link permanente aos seus favoritos.