Português descobre falha que afeta milhões de smartphones

/ 14 Abril, 2018

A vulnerabilidade afeta apenas os equipamentos da Samsung e a marca sul-coreana já criou uma correção.

O português Pedro Umbelino descobriu uma falha de segurança que afeta milhões de equipamentos da empresa Samsung. A vulnerabilidade em questão permite que uma aplicação maliciosa ganhe controlo de algumas funções do smartphone, sem que qualquer autorização tenha sido dada.

No sistema operativo Android, o utilizador precisa de dar permissão para que uma aplicação possa realizar determinadas tarefas. A falha que Pedro Umbelino encontrou dá ao atacante a possibilidade de evitar estas permissões, para depois fazer videochamadas ou executar códigos SS e USSD, tipologias de códigos que permitem consultar o saldo ou subscrever novos serviços de telecomunicações.

Num cenário hipotético, um pirata informático pode levar um utilizador a instalar uma aplicação maliciosa e a partir daí usar o saldo do smartphone para fazer subscrições de serviços de valor acrescentado. Quando o utilizador descobrir a situação, pode já não ter saldo no telemóvel.

“A superfície de ataque é de milhões de utilizadores. (…) Para um atacante que soubesse que esta falha existia, era trivial”, disse o investigador em entrevista ao Dinheiro Vivo. A falha encontrada por Pedro Umbelino afeta equipamentos Samsung que tenham uma das três últimas versões principais do sistema operativo Android.

A vulnerabilidade foi revelada de forma privada à Samsung através de um programa de ‘caça ao bug’ e a gigante tecnológica sul-coreana já tem uma atualização que corrige esta e outras falhas de segurança identificadas recentemente. A empresa confirma no seu site de segurança que esta atualização vai chegar aos “modelos topo de gama”, mas não especifica exatamente quais.

“Fui explorar a fundo o Galaxy S8 para ver que tipo de falhas conseguia descobrir”, referiu o perito em segurança informática de 38 anos. “Numa empresa muito grande que tem muitos componentes, basta haver falhas num componente que seja secundário”.

Pedro Umbelino já tinha divulgado em 2014 uma outra falha semelhante, mas que afetava os equipamentos Android de várias marcas.

O investigador não revela o valor da compensação que lhe foi dada pela Samsung, empresa a quem deixa elogios. “Têm uma boa comunicação, estão bem organizados, as pessoas que estão do outro lado percebem exatamente o que nós estamos a tentar reportar – falamos a mesma linguagem. E foram bastante céleres. No espaço de um mês já tinham a correção pronta”.

 

Fonte: Dinheiro Vivo

Artigos relacionados