Os especialistas em segurança digital identificaram um tipo de ameaça ainda inédita para dispositivos móveis. Trata-se de um ataque de canal secundário (side channel attack), que utiliza a interface gráfica do usuário em aplicativos para tablets e smartphones para monitorar e roubar dados.
"A interface gráfica do usuário em aplicações para dispositivos móveis sempre foi uma preocupação para os especialistas em segurança digital e, até o momento, não se acreditava que ela poderia ser explorada para outra aplicação sem privilégios especiais. Mas tudo indica que isso está mudando", afirma Ilya Lopes, especialista de Awareness & Research da ESET Brasil.
Esse ataque de canal secundário citado pelo especialista explora a possibilidade de comunicação entre aplicações por meio de um canal de comunicação desprotegido, que até pouco tempo não era conhecido. Em outras palavras, esse ataque não utiliza modalidades já conhecidas: exploração de vulnerabilidades ou força bruta.
O ataque foi batizado de UI state interence attack (ataque por inferência na interface do usuário). Trata-se de uma técnica que aproveita o fato de que as interfaces das aplicações mais populares para dispositivos móveis revelam cada passo dos usuários – iniciar a aplicação, cadastro de login e senha, inserir dados do cartão de crédito, entre outros –, o que torna essas informações visíveis e possíveis de serem interceptadas por aplicações espiãs.
Esse tipo de ataque tem início quando o usuário baixa um aplicativo aparentemente legítimo e que não exige privilégios especiais. Uma vez instalado no equipamento, ele permite que o cibercriminoso, por meio de outro dispositivo móvel, observe o momento em que a vítima inicia uma aplicação específica – como internet banking, sites de compra, câmera de fotos, entre outros – e também quando o usuário insere dados pessoais.
Uma prova de conceito realizada por um grupo de investigadores da Universidade de Michigan (Estados Unidos) mostrou que 6 de cada 7 aplicativos para Android está vulnerável a esse tipo de ataque.
"Uma das formas de evitar esse tipo de ataque é sempre baixar os aplicativos de páginas oficiais e utilizar uma solução de segurança da informação específica para dispositivos móveis", aconselha Ilya Lopes.
