exameinformatica

Uma parceria VISÃO

Siga-nos nas redes

Perfil

Software

Português descobre falha que afetou milhões de smartphones da Google e da Samsung

Pedro Umbelino já descobriu, no passado, outros grandes problemas de segurança informática, como o NFCDrip: era possível usar o protocolo de comunicação sem fios NFC para extrair dados de smartphones, impressoras e terminais de pagamentos, numa falha que também afetou milhões de equipamentos.

Crédito: D.R.

Investigador da Checkmarx descobriu um problema na aplicação da câmara fotográfica criada pela Google que permite a um atacante, de forma simples, captar fotografias, gravar vídeos no telemóvel da vítima e até extrair a informação GPS dos conteúdos

  • 333

Pedro Umbelino tinha uma nova missão entre mãos: «pega no smartphone Pixel mais recente, [na altura o Pixel 3] e vê o que consegues fazer», disse-lhe Erez Yalon, diretor de pesquisa da empresa israelita de cibersegurança Checkmarx. Traduzindo por outras palavras, Pedro estava agora encarregue de encontrar eventuais vulnerabilidades que existissem em aplicações ou funcionalidades relacionadas com a Google no dispositivo topo de gama da empresa.

«Comecei a ver os diferentes componentes e aplicações que são específicas do Google Pixel e há alguns componentes que são mais sumarentos do que outros», explica o investigador português em entrevista à Exame Informática.

Um destes componentes é a câmara e a respetiva aplicação do smartphone, que no caso do Pixel 3 é conhecida como Câmara Google: além de ser a aplicação de fotografia pré-definida nos smartphones da gigante norte-americana, serve de base para as aplicações de outros fabricantes de smartphones e também é uma das aplicações mais populares do género na loja de apps do Android, tendo sido descarregada em milhões de equipamentos.

«Quando vês uma aplicação como a da câmara, que tem muitas permissões, de um ponto de vista da segurança é um alvo que queres garantir que é seguro e que não houve erros durante o desenvolvimento que coloque os utilizadores em risco», sublinha Pedro Umbelino. E foi mesmo na câmara que acabou por encontrar uma falha com implicações graves para a privacidade dos utilizadores e para a reputação da Google.

O investigador português encontrou uma forma de manipular algumas ações associadas à aplicação Câmara Google – tirar fotografias e gravar vídeo, por exemplo – através de uma aplicação externa e que não tinha permissões para o fazer. Esta aplicação nem sequer precisa de ter código malicioso, pode ser uma simples aplicação de meteorologia [exemplo usado na divulgação da investigação], precisando apenas da permissão do utilizador para aceder ao armazenamento do smartphone – uma autorização que é muito comum em serviços móveis.

Ou seja, Pedro Umbelino acabara de descobrir uma forma de tirar fotografias e gravar vídeos nos smartphones da Google, de forma remota e sem que a vítima desse por isso. O método permitia ainda que um hipotético atacante conseguisse perceber, por exemplo, quando o smartphone tinha o ecrã virado para baixo para conseguir esconder melhor o ataque e dava ainda acesso a todas fotografias e vídeos já armazenados no dispositivo – fosse para roubá-los, fosse para apagar as fotos e vídeos captados através do telemóvel da vítima para não deixar provas.

Como descreve ainda Pedro Umbelino, «um dos problemas mais sérios é seres capaz de iniciar este processo de gravação mesmo com o ecrã desligado e o telemóvel bloqueado», outra prova da extensão do problema que tinha encontrado.

«Nós conseguimos ligar o vídeo enquanto a pessoa estava a fazer uma chamada, podíamos ouvir os dois lados da conversa ou tirar uma fotografia do que está a acontecer na sala durante a conversa», acrescentou Erez Yalon, o líder de investigação da Checkmarx e que foi acompanhando o processo. Até a informação de localização GPS embutida nas fotos e vídeos dos utilizadores podia ser extraída, dando ao atacante um mapa completo dos sítios onde esteve.

A Checkmarx apenas foi responsável pela descoberta do problema e não tem informações sobre se a vulnerabilidade já foi explorada por piratas informáticos em “cenários reais”. O que a empresa sabe é a escala e gravidade do "buraco" que tinha encontrado. «Não é fácil de encontrar, tens de procurar, mas é muito fácil de explorar», disse Pedro Umbelino.

A falha de segurança foi reportada à Google a 4 de julho. No dia 13 de julho, a Google classificou a investigação da Checkmarx como de gravidade «moderada», algo que seria revisto dez dias depois, a 23 de julho, passando a gravidade a ser classificada como «alta» pela equipa de segurança daquela que é uma das maiores empresas do mundo.

No dia 1 de agosto a Google confirmou uma suspeita que já circulava junto da equipa da Checkmarx: além dos smartphones Pixel, outros smartphones de outros fabricantes também estavam afetados pela vulnerabilidade. A própria Google emitiu um alerta para os fabricantes parceiros do ecossistema Android no dia 19 de agosto e, até à data, apenas a Samsung, a maior vendedora de smartphones a nível global – e também líder em Portugal – confirmou publicamente que a aplicação da câmara dos equipamentos da marca estava, de facto, vulnerável ao roubo de conteúdos multimédia por via remota.

Só entre smartphones Pixel e da Samsung, foram milhões os smartphones que estiveram expostos às possibilidades de ataque descritas por Pedro Umbelino – ambas as tecnológicas já lançaram, entretanto, correções de segurança para o problema. Mas quanto aos outros fabricantes nada se sabe, como salientou Erez Yalon. «Não sei que vendedores confirmaram à Google, eles mantêm segredo. Os únicos que confirmaram connosco que também estavam vulneráveis foi a Samsung», acrescentou o israelita.

«A Google não pode corrigir as aplicações dos outros fabricantes. É mais fácil para a Google disponibilizar uma correção no código base do Android, porque aí os outros vendedores só têm de adotar o código e lançar a atualização. Como está relacionado com uma aplicação, a Play Store pode forçar as atualizações ou alertar o utilizador sobre as atualizações», acrescenta Pedro Umbelino. Mas como as empresas não estão a partilhar informação sobre este problema, mesmo depois de já terem sido notificadas há mais de 90 dias, não se sabe ao certo quantos milhões de utilizadores podem ainda estar expostos à falha.

«Claro que há muita atenção nestes temas de segurança relacionados com a nossa própria privacidade, a capacidade para tirar fotos, saber onde estás. É bom quando vês que estás a trabalhar num tópico que é importante e afetas, de forma positiva esperamos, a vida de tantas pessoas», congratulou-se o português.

  • 333
  • O engenheiro que dentro da Google luta pela sua privacidade

    Internet

    Stephan Micklitz é diretor de engenharia para a área da privacidade na Google e considera que o futuro da empresa depende, e muito, da confiança dos utilizadores. Apesar de todas as críticas que a gigante norte-americana tem sofrido, o responsável fala num «sentimento positivo» dos utilizadores relativamente à Google e à forma como os dados pessoais são usados e protegidos. O responsável sublinha ainda que a Europa tem tido um papel fundamental na definição de regras de privacidade em todo o mundo