Aplicativo aparentemente seguro pode ser capaz de criar botnet de celulares
Por Fabiana Baioni
Dois pesquisadores da Tipping Point (empresa especializada em segurança na internet) apresentaram durante a última Conferência RSA (reunião de grandes empresas do setor de informática e segurança) os resultados de uma investigação que mostra como é fácil infectar aparelhos celulares com arquivos maliciosos.
De acordo com o site The H Security, Derek Brown e Daniel Tijerina desenvolveram um aplicativo chamado WeatherFist que, finge ter a única função de informar a condição do tempo no exato local em que o usuário do smartphone está.
Para que isso seja possível, o aplicativo envia os dados de posicionamento do telefone via GPS para um servidor que converte essas coordenadas transmitindo os dados para o site weatherunderground.com. Em seguida, o aplicativo mostra as informações meteorológicas fornecidas por este site na tela do celular. Porém, nos bastidores, o WeatherFist pode executar inúmeras tarefas como assumir o controle do smartphone, ler mensagens de texto ou abrir caminho para um eventual acesso remoto.
Os desenvolvedores afirmam ainda ser possível vincular um servidor SMTP a uma rede específica e, por exemplo, enviar spam via celulares, criando assim uma botnet clássica.
Segundo o site The Register a sugestão do aplicativo não foi publicada em nenhuma loja oficial de produtos para iPhone ou Android, mas mesmo assim atraiu centenas de usuários desses smartphones que baixaram o programa por mercados de aplicativos terceirizados como o Cydia e o SlideME. Segundo os especialistas, o aplicativo teve mais de oito mil instalações em um mês.
Ainda de acordo com o The H Security, os pesquisadores afirmaram durante a conferência que não disponibilizaram uma versão maliciosa do aplicativo (utilizada na demonstração durante a RSA), mas que poderiam fazer isso tranquilamente caso enviassem uma atualização às lojas que já colocaram o aplicativo para download. Para Brown e Tijerina, a versão do WeatherFist lançada para as lojas já deveria ter despertado algum tipo de desconfiança nos mantenedores de acervos app online. Por exemplo, o aplicativo envia dados de GPS para o servidor sem motivo aparente: smartphones têm suas próprias APIs para esta finalidade. Parece que ninguém olhou para o código. 20 minutos depois de apresentado o aplicativo, o software já estava online na loja. Podemos, portanto, seguramente assumir que ninguém vai achar suspeita uma atualização, não importa a quantidade de códigos maliciosos que isso tenha, disse Brown.
A conclusão dos peritos é simples e verdadeira: os usuários devem baixar aplicativos para smartphones somente de fontes seguras. Infelizmente, eles disseram, a AppStore da Apple é a única que, atualmente, inspeciona minuciosamente os aplicativos que ela oferece. Porém, pelo menos um lugar pode ser considerado confiável.
Receba essa e muitas outras notícias no seu celular. Envie igtecnologia para 49094