De acordo com uma postagem no blog de Google Project Zero (via TechCrunch), um trio de vulnerabilidades de dia zero em alguns telefones Samsung Galaxy mais recentes estava sendo explorado por um fornecedor de vigilância comercial. Essas empresas podem ser empresas de telecomunicações ou tecnologia que rastreiam seus clientes com o objetivo de monetizar dados pessoais enviando publicidade personalizada. Ou pode ser mais sinistro (mais sobre isso abaixo).
Alguns aparelhos Samsung Galaxy usando o chipset Exynos caseiro tinham essas vulnerabilidades
De acordo com o Federal Trade Commission, essas empresas se envolvem na”coleta, agregação, análise, retenção, transferência ou monetização de dados do consumidor e os derivados diretos dessas informações”. E além de prejudicar os consumidores com essas ações, a FTC está procurando coletar informações que demonstrem que essas ações levam a danos psicológicos, danos à reputação e intrusões indesejadas que ocorrem com a coleta desses dados pessoais.
Um dos telefones explorados foi o Samsung Galaxy S10
Mas essa situação específica pode ser mais grave. Embora o Google não tenha nomeado um fornecedor específico de vigilância comercial, ele disse que o padrão se assemelha a uma exploração anterior que forneceu”poderoso spyware de estado-nação”por meio de um aplicativo Android malicioso. As vulnerabilidades encontradas no software personalizado da Samsung faziam parte de uma cadeia de exploração que permitiria ao invasor obter privilégios de leitura e gravação do kernel que poderiam eventualmente revelar dados pessoais no telefone.
A exploração visa aparelhos Samsung Galaxy equipados com um Exynos SoC usando kernel 4.14.113. Os telefones que correspondem a essa descrição incluem o Samsung Galaxy S10, o Galaxy A50 e o Galaxy A51. As versões desses telefones vendidos nos EUA e na China são equipadas com um chipset Qualcomm Snapdragon, enquanto na maioria dos outros continentes, como Europa e África, o Exynos SoC é usado. O Google diz que a exploração”depende do driver Mali GPU e do driver DPU, que são específicos para os telefones Exynos Samsung”. Nesse caso, o sideloading significa baixar um aplicativo de uma loja de aplicativos Android de terceiros que não seja a Google Play Store. O Google relatou à Samsung sobre as vulnerabilidades em 2020 e, embora Sammy tenha enviado um patch em março de 2021, a empresa não mencionou que as vulnerabilidades estavam sendo exploradas ativamente.
Maddie Stone, do Google, que escreveu a postagem no blog, diz:”A análise dessa cadeia de exploração nos forneceu novos e importantes insights sobre como os invasores estão atacando os dispositivos Android. Stone também apontou que com mais pesquisas, novas vulnerabilidades podem ser descobertas em software personalizado usado em dispositivos Android por fabricantes de telefones como a Samsung. Stone acrescentou:”Isso destaca a necessidade de mais pesquisas sobre componentes específicos do fabricante. Ele mostra onde devemos fazer mais análises de variantes.”
Use a seção de comentários na Play Store ou uma loja de aplicativos Android de terceiros para procurar sinais de alerta
No futuro, a Samsung concordou em revelar quando suas vulnerabilidades estão sendo exploradas ativamente, juntando-se à Apple e ao Google. Os dois últimos fabricantes já alertam os usuários quando esse evento estiver ocorrendo. Em junho, falamos sobre um spyware chamado Hermit que foi usado pelos governos em vítimas visadas na Itália e no Cazaquistão. Semelhante ao problema de segurança encontrado nos três telefones Galaxy com Exynos, o Hermit exigia que um usuário carregasse um aplicativo malicioso. Eventualmente, esse malware roubaria os contatos, dados de localização, fotos, vídeos e gravações de áudio do aparelho da vítima. Uma regra rápida e suja que ainda pode funcionar hoje em dia é dar uma boa olhada na seção de comentários antes de instalar um aplicativo de um desenvolvedor do qual você nunca ouviu falar. bandeiras apareçam, fuja rapidamente listagem desse aplicativo e nunca mais olhe para trás. Outro grande conselho é não fazer sideload de nenhum aplicativo. Sim, os aplicativos com malware de alguma forma passam pela segurança do Google Play muitas vezes, mas você provavelmente ainda terá menos probabilidade de ser”infectado”ao carregar aplicativos da Play Store.
