Uma falha no app do Google (chamado “Google” mesmo) para o Android foi encontrada por um especialista em segurança de aplicativos e era capaz de permitir que um invasor roubasse discretamente dados pessoais de um aparelho. A vulnerabilidade tem a ver com a forma como o app do Google depende da importação de um código para poder rodar.

Muitos aplicativos Android, incluindo o Google app, reduzem o tamanho do download e o espaço de armazenamento necessário para serem executados, contando com bibliotecas de código que já estão instaladas em telefones com o sistema operacional. A falha de segurança encontrada (e postada) por Sergey Toshin, fundador da startup de segurança de aplicativos móveis Oversecured, mostrou que o app poderia ser enganado para extrair uma biblioteca de código de um app malicioso para o mesmo dispositivo em que está rodando, em vez da biblioteca de código legítima.

O que a falha de segurança poderia causar

Assim, o app malicioso herdaria as permissões do app do Google, obtendo então acesso quase completo aos dados de um usuário, inclusive acesso às contas da pessoa. Um invasor teria acesso a dados pessoais, como histórico de pesquisa, e-mail, mensagens de texto, contatos e histórico de chamadas.

Além disso, a falha de segurança no app do Google permitia acesso indevido e sem consentimento da vítima ao microfone e à câmera do aparelho, e também à localização do usuário. Para piorar, excluir o app malicioso não removeria os componentes maliciosos do Google app, segundo Toshin.

O especialista em segurança disse que a vulnerabilidade do Google app é semelhante a outro bug descoberto pela inicialização do TikTok no início deste ano que, se explorado poderia ser usado por cibercriminosos no roubo de tokens de sessão de um usuário da rede social para assumir o controle de contas. Um porta-voz do Google disse que a empresa corrigiu a vulnerabilidade no mês passado e não tinha evidências de que a falha foi explorada por invasores.

Via TechCrunch

Imagem: Torsten Dettlaff/Pexels/CC