Mercado fechará em 5 h 4 min
  • BOVESPA

    113.669,18
    -508,37 (-0,45%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    55.164,01
    +292,65 (+0,53%)
     
  • PETROLEO CRU

    82,21
    +1,20 (+1,48%)
     
  • OURO

    1.932,30
    +2,30 (+0,12%)
     
  • BTC-USD

    22.909,61
    -186,70 (-0,81%)
     
  • CMC Crypto 200

    518,81
    -8,38 (-1,59%)
     
  • S&P500

    4.060,43
    +44,21 (+1,10%)
     
  • DOW JONES

    33.949,41
    +205,57 (+0,61%)
     
  • FTSE

    7.759,65
    -1,46 (-0,02%)
     
  • HANG SENG

    22.688,90
    +122,12 (+0,54%)
     
  • NIKKEI

    27.382,56
    +19,81 (+0,07%)
     
  • NASDAQ

    12.059,00
    -47,75 (-0,39%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,5087
    -0,0110 (-0,20%)
     

Apps populares de teclado virtual para Android têm falhas de segurança graves

Três aplicativos populares que transformam os celulares Android em teclados virtuais para outros dispositivos têm falhas de segurança graves que expõem os usuários a roubo de dados e execução remota de códigos. Juntas, as soluções acumulam mais de dois milhões de downloads em versões gratuitas e pagas, todas com as brechas que foram localizadas em agosto e ainda permanecem ativas.

Os softwares citados no alerta emitido pela Synopsys são o Telepad Remote Mouse & Keyboard, PC Keyboard WiFi & Bluetooth e Lazy Mouse. Apenas os dois últimos permanecem disponíveis na Google Play Store, enquanto o terceiro só pode ser baixado paralelamente, a partir do site oficial Nenhum deles recebe suporte de seus desenvolvedores originais, o que significa que as brechas localizadas agora devem permanecer abertas, enquanto os usuários seguem suscetíveis a ataques.

<em>Dos três aplicativos de teclado virtual com vulnerabilidades de médias a críticas, dois permanecem disponíveis na Google Play Store; recomendação é de interromper o uso, já que atualizações não devem ser lançadas (Imagem: Captura de tela/Felipe Demartini/Canaltech)</em>
Dos três aplicativos de teclado virtual com vulnerabilidades de médias a críticas, dois permanecem disponíveis na Google Play Store; recomendação é de interromper o uso, já que atualizações não devem ser lançadas (Imagem: Captura de tela/Felipe Demartini/Canaltech)

De acordo com os especialistas, as vulnerabilidades estão relacionadas à forma como os teclados virtuais se comunicam com outros dispositivos, bem como a aberturas que permitem explorações remotas. Todos estão sujeitos a ataques de man-in-the-middle, com a interceptação do que é digitado por um intermediário presente na rede, e também não possuem as autenticações necessárias para evitar que um atacante execute comandos à distância.

As falhas chegam a ser básicas, em alguns elementos, com os três aplicativos transferindo dados em texto simples, sem a menor preocupação com criptografia e a proteção das informações. Quando falamos de um teclado, a situação se torna ainda mais grave, já que também entram na dança as conversas pessoais e credenciais de acesso a sistemas pessoais, financeiros e corporativos.

De acordo com o relatório da Synopsys, ainda que as explorações sejam as mesmas em todos os aplicativos, as implementações são diferentes, o que fez com que cada um deles recebesse CVEs individuais. No total, são sete falhas de severidade entre média e crítica, daquelas que exige uma atualização urgente que, como dito, deve nunca ser liberada por conta do estado de abandono dos aplicativos.

Por isso, a recomendação aos usuários é que procurem novas soluções e interrompam o uso dos aplicativos citados. O ideal é buscar soluções que estejam em desenvolvimento ativo e acumulem boas recomendações de outros usuários; se possível, vale também se certificar que, pelo menos, a transmissão dos dados é criptografada entre o smartphone e os dispositivos conectados a ele.

Fonte: Canaltech

Trending no Canaltech: