Pesquisadores demonstram facilidade em infectar smartphones

Aplicativo aparentemente seguro pode ser capaz de criar botnet de celulares

Por Fabiana Baioni

Dois pesquisadores da Tipping Point (empresa especializada em segurança na internet) apresentaram durante a última Conferência RSA (reunião de grandes empresas do setor de informática e segurança) os resultados de uma investigação que mostra como é fácil infectar aparelhos celulares com arquivos maliciosos.

De acordo com o site The H Security, Derek Brown e Daniel Tijerina desenvolveram um aplicativo chamado WeatherFist que, finge ter a única função de informar a condição do tempo no exato local em que o usuário do smartphone está.

Para que isso seja possível, o aplicativo envia os dados de posicionamento do telefone via GPS para um servidor que converte essas coordenadas transmitindo os dados para o site weatherunderground.com. Em seguida, o aplicativo mostra as informações meteorológicas fornecidas por este site na tela do celular. Porém, nos bastidores, o WeatherFist pode executar inúmeras tarefas como assumir o controle do smartphone, ler mensagens de texto ou abrir caminho para um eventual acesso remoto.

Os desenvolvedores afirmam ainda ser possível vincular um servidor SMTP a uma rede específica e, por exemplo, enviar spam via celulares, criando assim uma botnet clássica.

Segundo o site The Register a sugestão do aplicativo não foi publicada em nenhuma loja oficial de produtos para iPhone ou Android, mas mesmo assim atraiu centenas de usuários desses smartphones que baixaram o programa por mercados de aplicativos terceirizados como o Cydia e o SlideME. Segundo os especialistas, o aplicativo teve mais de oito mil instalações em um mês.

Ainda de acordo com o The H Security, os pesquisadores afirmaram durante a conferência que não disponibilizaram uma versão maliciosa do aplicativo (utilizada na demonstração durante a RSA), mas que poderiam fazer isso tranquilamente caso enviassem uma atualização às lojas que já colocaram o aplicativo para download. Para Brown e Tijerina, a versão do WeatherFist lançada para as lojas já deveria ter despertado algum tipo de desconfiança nos mantenedores de acervos app online. Por exemplo, o aplicativo envia dados de GPS para o servidor sem motivo aparente: smartphones têm suas próprias APIs para esta finalidade. “Parece que ninguém olhou para o código. 20 minutos depois de apresentado o aplicativo, o software já estava online na loja. Podemos, portanto, seguramente assumir que ninguém vai achar suspeita uma atualização, não importa a quantidade de códigos maliciosos que isso tenha”, disse Brown.

A conclusão dos peritos é simples e verdadeira: os usuários devem baixar aplicativos para smartphones somente de fontes seguras. Infelizmente, eles disseram, a AppStore da Apple é a única que, atualmente, inspeciona minuciosamente os aplicativos que ela oferece. Porém, pelo menos um lugar pode ser considerado confiável.

Receba essa e muitas outras notícias no seu celular. Envie igtecnologia para 49094

Add Comment