Investigadores da Rapid7 descobriram uma vulnerabilidade em diversas versões do OxygenOS, sistema operacional baseado em Android usado pela OnePlus. A falha no sistema permite que qualquer aplicativo instalado no celular tenha acesso a todas as mensagens de texto e metadados sem permissão do usuário. A empresa de segurança tem tentado avisar a OnePlus desde maio deste ano. A vulnerabilidade ainda não foi corrigida.
Quando explorada, a vulnerabilidade permite que qualquer aplicativo instalado no dispositivo leia dados e metadados SMS/MMS do provedor de telefonia fornecido pelo sistema (o pacote com.android.providers.telephony) sem permissão, interação do usuário ou consentimento. O usuário também não é notificado de que os dados SMS estão sendo acessados. A falha pode permitir que criminosos acessem informações confidenciais e comprometam as verificações de múltiplo fator baseadas em SMS.
Como funciona a falha
Isso acontece porque a OnePlus adicionou alguns “atalhos” no sistema, chamados de content providers. Eles servem para trocar dados entre partes do sistema e apps. O problema é que esses atalhos foram mal configurados, então eles não pedem permissão especial e ainda aceitam comandos maliciosos. Com uma técnica conhecida como blind SQL injection, técnica de ataque que usa aplicações web para interagir com bancos de dados, um app pode ir puxando as informações dos SMS em frações, até conseguir reconstruir o conteúdo inteiro das mensagens. É uma técnica mais demorada, mas efetiva.
A Rapid7 explica que todos os smartphones Android utilizam um provedor de conteúdo essencial, o provedor de telefonia – registrado no pacote com.android.providers.telephony. Esse provedor contém e permite acesso a mensagens SMS e seus metadados.
Acontece que, nos aparelhos da OnePlus, as configurações de algumas permissões do provedor podem ser vulneráveis. Isso porque eles usam apenas um atributo readPermission, que dá acesso livre para a leitura de mensagens de texto. No entanto, outros provedores usam o atributo writePermission. Essa pequena diferença faz com que os celulares não definam quem controla qual aplicativo pode inserir, atualizar ou apagar dados – o que faz com que o sistema entenda que não existe restrição para nenhum app que tente executar operações de escrita.
A empresa de segurança ainda comparou o OxygenOS com outros sistemas operacionais e percebeu que a falha é exclusiva dos sistemas da OnePlus.
O que fazer para se proteger?
Como ainda não há nenhum patch de segurança oferecido pela própria companhia, tem algumas ações que usuários do OxygenOS podem tomar para evitar ficarem tão expostos.
- Instale apenas aplicativos de fontes confiáveis e remova todos os apps não essenciais. Isso reduz a exposição a aplicativos suspeitos que podem explorar essa falha para ler dados de SMS/MMS;
- Revise quais serviços de terceiros usam SMS como autenticação em dois fatores (MFA) e troque esses serviços para usar um aplicativo autenticador. Assim, você evita que informações sensíveis sejam enviadas por SMS;
- Para mais privacidade nas mensagens de texto, use aplicativos de mensagens com criptografia de ponta a ponta em vez do SMS. Dessa forma, informações importantes não ficam circulando pelo SMS;
- Nos serviços que enviam notificações por SMS, veja se é possível trocar por notificações push dentro do próprio app. Isso também evita que dados sensíveis cheguem ao seu celular por SMS.
Para ler mais notícias como essa, acompanhe o TecMundo nas redes sociais e no YouTube. Assine nossa newletter e receba mais informações sobre tecnologia e segurança.