A equipe de investigação Bluebox Segurança - Bluebox Labs - recentemente descobriu uma vulnerabilidade no modelo de segurança do Android que permite que um hacker modificar o código APK sem quebrar assinatura criptográfica de um aplicativo, para transformar qualquer aplicativo legítimo em um Trojan malicioso, completamente despercebido pela loja de aplicativos, ao telefone, ou ao usuário final. As implicações são enormes! Esta vulnerabilidade, em torno de, pelo menos, desde o lançamento do Android 1.6 (codinome: "Donut"), pode afetar qualquer telefone Android lançado nos últimos quatro anos - ou quase 900 milhões de dispositivos e, dependendo do tipo de aplicação, um hacker pode explorar a vulnerabilidade para qualquer coisa, desde o roubo de dados para a criação de uma botnet móvel.
Embora o risco para o indivíduo e para qualquer empresa é grande (um aplicativo malicioso pode acessar os dados individuais, ou ganhar a entrada de uma empresa), este risco é agravado quando se considera aplicações desenvolvidas pelos fabricantes dos aparelhos (por exemplo, HTC, Samsung, Motorola, LG ) ou de terceiros que trabalham em cooperação com o fabricante do dispositivo (por exemplo, Cisco com AnyConnect VPN) - pois são concedidos privilégios elevados especiais dentro do Android - especificamente o acesso UID do sistema.
Resumindo seu dispositivo seria totalmente controlado pelo hacker e viraria uma espécie de "zumbi", por isto a vulnerabilidade fico conhecida como "Master Key" (chave-mestra - em português) ou bug 8219321.
Infelizmente para corrigir está falha é necessário esperar que a fabricante do seu aparelho libere uma atualização oficial, visto que cada fabricante faz suas alterações no Android e devem fornecer uma ROM que tenha compatibilidade para cada aparelho de sua linha. Por isto o problema não é da Google, pois as fabricantes recebem o Android puro e fazem suas modificações para cada linha de Smartphone lançada.
Felizmente há um método simples de conferir se seu aparelho está com a vulnerabilidade:
1- Faça download do aplicativo Bluebox Security Scanner
2- Instale, execute o aplicativo e aguarde os resultados3- Em "Patch Status" se o campo estiver vermelho escrito "Unpatched/vulnerable..." infelizmente seu aparelho tem brechas na Master Key.
4- Em "Apps from Unknowm Sources" se estiver vermelho escrito "Allowed" é porque a opção "instalar apps de fontes desconhecidas" está marcada, para sua segurança é recomendado que está opção esteja desativada, para isso basta ir em "Configurações > Segurança".
5- Em "Malicious App Scan" se estiver verde "No malicious app found" isso significa que a falha Master Key ainda não foi explorada por algum hacker, mas se tiver em vermelho significa que a falha já foi explorada e seus dados correm riscos, além do seu Android corre perigo de se tornar um "zumbi" de uma rede hacker.
É possível corrigir o problema de forma temporária, mas só funciona em dispositivos com Android 4.0.3 ou superior e não nos responsabilizamos pelos seus atos e de nossos leitores - para Androids inferiores uma correção temporária também está sendo estudada, quando lançar atualizaremos está página.
*O tutorial abaixo tem como fonte o site Tecmundo*
1- Faça o root no seu Smartphone;
2- Baixe e instale o Framework Xposed
COMENTÁRIOS