Aparentemente, há bastantes apps de Android que representam perigos de segurança. Entre estas, destacam-se duas com muita popularidade: a Xiaomi File Manager e a WPS Office.
À data, a primeira app tem cerca de mil milhões de downloads. Já a segunda foi instalada mais de 500 milhões de vezes. O problema relaciona-se com a facilidade que os hackers têm em substituir arquivos originais por elementos de malware.
Os hackers podem roubar tokens
Na prática, isto significa que as aplicações ficam expostas a ações ilícitas destes agentes maliciosos.
Nas palavras de Dimitrios Valsamaras, da Microsoft, “as implicações desse padrão de vulnerabilidade incluem execução arbitrária de código e roubo de tokens, dependendo da implementação de uma aplicação”.
Isto quer dizer que os hackers podem ter acesso total de uma aplicação e, através dela, chegar a dados confidenciais. Desde acesso a contas online, a outro tipo de dados, esta ação representa grande perigo para o utilizador.
Sobre esta situação, não se pode dizer que o Android não tem um mecanismo de partilha de arquivos bem definido. O problema é que qualquer descuido pode resultar em problemas gravosos.
Os agentes de malware aproveitam o facto de algumas apps "confiarem" nos arquivos que nelas entram
Na tentativa de explicar isso mesmo, a mesma fonte da Microsoft dá um exemplo bastante técnico do que tende a acontecer.
"Frequentemente encontramos casos em que a app não valida o conteúdo do arquivo que recebe e, o mais preocupante, usa o nome do arquivo fornecido pelo servidor para armazenar em cache o arquivo recebido no diretório de dados interno da app consumidora" - refere Valsamaras (via The Hacker News).
Simplificando estas palavras, significa que os hackers aproveitam o facto das apps confiarem a 100% em todos os arquivos que nelas entram. Por isso mesmo, acabam por não distinguir, por vezes, o que pode ser prejudicial.
Dessa forma, os agentes de malware têm a capacidade de se infiltrar nas aplicações e obter dados de forma indevida.
Depois desta situação vir a público, a Xiaomi e a WPS Office têm tentado retificar o problema. Contudo, a Microsoft alerta para a possibilidade de ser algo mais preocupante do que se imagina.
