Microsoft descobre falha de segurança no Android que afeta mais de 4 bilhões de downloads

A Microsoft alerta usuários e desenvolvedores do Android sobre um padrão de vulnerabilidade encontrado em vários aplicativos Android na Google Play Store. A vulnerabilidade potencialmente afeta mais de 4 bilhões de instalações em todo o mundo, conforme anunciado em um relatório recente.

Entre os aplicativos afetados, a Microsoft revelou dois dos maiores: WPS Office, com mais de 500 milhões de instalações, e o gerenciador de arquivos da Xiaomi Inc., com mais de 1 bilhão de instalações. As duas empresas foram informadas em fevereiro deste ano e desde então corrigiram o problema.

O relatório reconhece que muitos outros aplicativos, representando mais de 500 milhões de instalações, podem ter sido afetados, mas nenhum é nomeado especificamente.

Essa violação de segurança, chamada de ataque “Dirty Stream”, foi identificada em um componente do provedor de conteúdo que permite que os aplicativos compartilhem informações. A vulnerabilidade no componente coloca os aplicativos em risco, pois agentes mal-intencionados podem assumir o controle do software e acessar tokens dos usuários. Como explicado pelos especialistas da Microsoft no anúncio de 1º de maio, as consequências podem variar e dependem de como os aplicativos implementam o componente.

O Google, em colaboração com a Microsoft, revelou essa vulnerabilidade e compartilhou um relatório de risco de segurança na plataforma Android Studio para desenvolvedores, fornecendo mais informações e conselhos sobre como evitar futuras vulnerabilidades e corrigir as atuais.

O anúncio da Microsoft funciona não apenas como um aviso para os potenciais bilhões de pessoas que podem ter sido afetadas, mas também como um convite a outras grandes empresas de tecnologia e desenvolvedores de aplicativos para trabalharem juntos com o objetivo de fornecer melhor segurança de aplicativos em toda a indústria. A declaração da Microsoft afirma que não apenas fornece orientações para usuários e desenvolvedores de aplicativos, mas também tem como objetivo “ilustrar a importância da colaboração para melhorar a segurança para todos”.

O relatório da Microsoft também fornece orientações para usuários de Android, sendo a maior sugestão garantir que as versões mais recentes dos aplicativos estejam atualmente instaladas.

O documento também compartilha exemplos práticos do problema usando um estudo de caso envolvendo o gerenciador de arquivos da Xiaomi Inc. como referência. Ele explica como um aplicativo malicioso poderia se comportar em cenários graves: “Além de ter acesso completo ao armazenamento externo do dispositivo, o aplicativo solicita muitas permissões, incluindo a capacidade de instalar outros aplicativos.”

Dito isso, como também confirma Forbes, não há nada que os usuários possam fazer além de se manterem informados, manter seus aplicativos atualizados e seguir as recomendações da Microsoft: “Os usuários devem instalar aplicativos apenas de fontes confiáveis para evitar programas potencialmente maliciosos.”