Nenhum celular Android está seguro. Pesquisadores descobriram uma vulnerabilidade que afeta todas as versões do sistema operacional até a mais recente, com a numeração 7.1.2, e permite que um cibercriminoso roube informações do usuário de uma forma discreta, se mascarando de forma eficaz atrás de elementos de interface do Android.

Os pesquisadores da Instituto de Tecnologia da Geórgia alertaram que a falha é gravíssima, e permite controle total do aparelho. “O ataque permite o clickjacking [“furto de cliques”, quando o usuário toca em algo, mas acaba realizando uma ação maliciosa sem saber], gravação do teclado, phishing, a instalação de um aplicativo ‘modo deus’, com todas as permissões habilitadas, permitindo o desbloqueio silencioso do celular e a realização de ações arbitrárias com a tela desligada”. Ou seja: todas as portas estão abertas.

A falha, batizada de “Cloak and Dagger”, foi descoberta em agosto do ano passado, mas só agora foi publicada e ainda não foi corrigida. Ela se baseia em dois recursos de interface do Android que permitem exibir elementos interativos sobre aplicativos reais. O exemplo abaixo mostra o problema, permitindo criar uma cópia fiel da tela de autenticação com e-mail e senha do Facebook, que se sobrepõe aos elementos da interface do app verdadeiro do Facebook. Assim, é possível desviar as informações de login e senha. Se o app for fechado antes da senha ser digitada, é possível ver os campos falsos flutuando sobre a interface.

Em outro caso detectado, é possível incluir um elemento transparente por cima do teclado do Android, de modo que cada toque é devidamente capturado e transmitido para o cibercriminoso.

A solução neste momento passa por configurar o Android para quem esse tipo de ação não seja possível. Isso pode ser feito nas novas versões do sistema entrando em Configurações > Aplicativos > “Ícone de engrenagem” ou “três pontinhos” no canto superior direito > Configurações > Acesso especial > Sobrepor a outros aplicativos e remover permissões de quem não deve ter a liberdade de ficar por cima de outros apps.

A boa notícia é que o Google já está ciente da situação. A empresa informa que atualizou o Google Play Protect, seu serviço de segurança embutido em todos os celulares equipados com o Google Play, para impedir que aplicativos maliciosos que façam uso do “Cloak and Dagger” sejam instalados. Além disso, o Google informa que o Android O também já chegará imune a este tipo de ataque.