TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

ESET alerta para novo tipo de ataque a dispositivos Android

Postado em: 26/08/2014, às 14:49 por Redação

Os especialistas em segurança digital identificaram um tipo de ameaça ainda inédita para dispositivos móveis. Trata-se de um ataque de canal secundário (side channel attack), que utiliza a interface gráfica do usuário em aplicativos para tablets e smartphones para monitorar e roubar dados.

"A interface gráfica do usuário em aplicações para dispositivos móveis sempre foi uma preocupação para os especialistas em segurança digital e, até o momento, não se acreditava que ela poderia ser explorada para outra aplicação sem privilégios especiais. Mas tudo indica que isso está mudando", afirma Ilya Lopes, especialista de Awareness & Research da ESET Brasil.

Esse ataque de canal secundário citado pelo especialista explora a possibilidade de comunicação entre aplicações por meio de um canal de comunicação desprotegido, que até pouco tempo não era conhecido. Em outras palavras, esse ataque não utiliza modalidades já conhecidas: exploração de vulnerabilidades ou força bruta.

O ataque foi batizado de UI state interence attack (ataque por inferência na interface do usuário). Trata-se de uma técnica que aproveita o fato de que as interfaces das aplicações mais populares para dispositivos móveis revelam cada passo dos usuários – iniciar a aplicação, cadastro de login e senha, inserir dados do cartão de crédito, entre outros –, o que torna essas informações visíveis e possíveis de serem interceptadas por aplicações espiãs.

Esse tipo de ataque tem início quando o usuário baixa um aplicativo aparentemente legítimo e que não exige privilégios especiais. Uma vez instalado no equipamento, ele permite que o cibercriminoso, por meio de outro dispositivo móvel, observe o momento em que a vítima inicia uma aplicação específica – como internet banking, sites de compra, câmera de fotos, entre outros – e também quando o usuário insere dados pessoais.

Uma prova de conceito realizada por um grupo de investigadores da Universidade de Michigan (Estados Unidos) mostrou que 6 de cada 7 aplicativos para Android está vulnerável a esse tipo de ataque.

"Uma das formas de evitar esse tipo de ataque é sempre baixar os aplicativos de páginas oficiais e utilizar uma solução de segurança da informação específica para dispositivos móveis", aconselha Ilya Lopes.

Tags: , , , , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top