.
Ilustração Fotográfica de Miguel Candela/SOPA Images/LightRocket via Getty Images
Não é de admirar que o Google esteja tendo problemas para acompanhar o policiamento de sua loja de aplicativos. Desde segunda-feira, pesquisadores relataram que centenas de aplicativos Android e extensões do Chrome com milhões de instalações dos mercados oficiais da empresa incluíram funções para bisbilhotar arquivos de usuários, manipular o conteúdo de pranchetas e injetar código deliberadamente desconhecido em páginas da web.
O Google removeu muitas, mas não todas as entradas maliciosas, disseram os pesquisadores, mas somente depois que foram denunciadas e, a essa altura, estavam em milhões de dispositivos – e possivelmente centenas de milhões. Os pesquisadores não estão satisfeitos.
Um lugar muito triste
“Não sou fã da abordagem do Google”, escreveu o desenvolvedor de extensão e pesquisador Wladimir Palant em um e-mail. Nos dias anteriores ao Chrome, quando o Firefox tinha uma fatia maior do navegador, pessoas reais revisavam as extensões antes de disponibilizá-las no mercado da Mozilla. O Google adotou uma abordagem diferente usando um processo de revisão automatizado, que o Firefox copiou.
“Como revisões automatizadas frequentemente não possuem extensões maliciosas e o Google é muito lento para reagir a relatórios (na verdade, eles raramente reagem), isso deixa os usuários em uma situação muito triste”, disse Palant.
Pesquisadores e defensores da segurança há muito tempo direcionam as mesmas críticas ao processo do Google para revisar aplicativos Android antes de disponibilizá-los em seu mercado Play. A semana passada fornece uma razão clara para o descontentamento.
Na segunda-feira, a empresa de segurança Dr.Web informou ter encontrado 101 aplicativos com 421 milhões de downloads do Play que continham código que permitia uma série de atividades de spyware, incluindo:
- Obtendo uma lista de arquivos em diretórios especificados
- Verificando a presença de arquivos ou diretórios específicos no dispositivo
- Enviando um arquivo do dispositivo para o desenvolvedor
- Copiar ou substituir o conteúdo das pranchetas.
O pesquisador da ESET, Lukas Stefanko, analisou os aplicativos relatados pelo Dr.Web e confirmou as descobertas. Em um e-mail, ele disse que, para que a espionagem de arquivos funcione, os usuários primeiro teriam que aprovar uma permissão conhecida como READ_EXTERNAL_STORAGE, que, como o próprio nome indica, permite que aplicativos leiam arquivos armazenados em um dispositivo. Embora essa seja uma das permissões mais confidenciais que um usuário pode conceder, ela é necessária para executar muitos dos objetivos pretendidos dos aplicativos, como edição de fotos, gerenciamento de downloads e trabalho com multimídia, aplicativos de navegador ou câmera.
Dr.Web disse que as funções do spyware foram fornecidas por um kit de desenvolvedor de software (SDK) usado para criar cada aplicativo. Os SDKs ajudam a simplificar o processo de desenvolvimento automatizando certos tipos de tarefas comumente executadas. Dr.Web identificou o SDK que permite a espionagem como SpinOK. As tentativas de entrar em contato com o desenvolvedor do SpinOK para comentar não tiveram sucesso.
Na sexta-feira, a empresa de segurança CloudSEK ampliou a lista de aplicativos que usam o SpinOK para 193 e disse que, desses, 43 permaneciam disponíveis no Play. Em um e-mail, um pesquisador do CloudSEK escreveu:
O spyware Android.Spy.SpinOk é uma ameaça altamente preocupante para os dispositivos Android, pois possui a capacidade de coletar arquivos de dispositivos infectados e transferi-los para invasores mal-intencionados. Essa coleta não autorizada de arquivos coloca informações confidenciais e pessoais em risco de serem expostas ou mal utilizadas. Além disso, a capacidade do spyware de manipular o conteúdo da área de transferência aumenta ainda mais a ameaça, permitindo potencialmente que invasores acessem dados confidenciais, como senhas, números de cartão de crédito ou outras informações confidenciais. As implicações de tais ações podem ser graves, levando a roubo de identidade, fraude financeira e várias violações de privacidade.
A semana não foi melhor para os usuários do Chrome que obtêm extensões da Chrome Web Store do Google. Na quarta-feira, Palant relatou 18 extensões que continham código deliberadamente ofuscado que alcançou um servidor localizado em serasearchtop[.]com. Uma vez lá, as extensões injetaram JavaScript misterioso em todas as páginas da web que um usuário visualizou. Ao todo, as 18 extensões tiveram cerca de 55 milhões de downloads.
Na sexta-feira, a empresa de segurança Strong The One confirmou as descobertas de Palant e identificou 32 extensões com 75 milhões de downloads relatados, embora a Strong The One tenha dito que a contagem de downloads pode ter sido artificialmente inflada.
Não se sabe exatamente o que o JavaScript injetado fez porque Palant ou Strong The One não conseguiram visualizar o código. Embora ambos suspeitem que o objetivo era sequestrar resultados de pesquisa e enviar spam aos usuários com anúncios, eles dizem que as extensões foram muito além de serem apenas spyware e, em vez disso, constituíram malware.
“Ser capaz de injetar código JavaScript arbitrário em cada página da web tem um enorme potencial de abuso”, explicou ele. “Redirecionar páginas de pesquisa é apenas a única maneira *confirmada* em que esse poder foi abusado.”
.
