Se há uma coisa que sempre temos nos programas de computador são bugs. Infelizmente, alguns destes erros acabam por tornar o programa , seja ele qual for um pouquinho mais vulnerável a ataques de pessoas estranhas. Ou seja, é o famoso furo de segurança que todos nós conhecemos.

E embora o Android seja considerado um sistema operacional estável e seguro ( lógico, muita gente discorda disto ) sempre vão aparecer no nosso robôzinho verde vulnerabilidades. Algumas são bem chatas e forçam o Google a fazer pequenas revisões no seu sistema operacional. Se a maioria das pessoas fica vulnerável a estas falhas , quem tem a facilidade de fazer mods nos seus sistemas operacionais acaba por conseguir resolver isto mais rápido. E é no fórum XDA-Developers onde sempre aparecem coisas muitas interessantes para resolução dos problemas já que os desenvolvedores não tem o hábito de ficar esperando pela resolução de algum problema.

Um dos bugs recentemente descobertos é conhecido como Fake ID e está presente no código fonte do Android desde 2010. O bug permite que aplicativos maliciosos possam fingir ser assinados por fornecedores confiáveis. Isto pode permitir que eles sejam carregados com extensões em diversos contextos como acesso a tecnologia NFC, plugins de navegador e muito mais.

A falha foi publicada pela BlueBox Inc. que é inclusive a mesma empresa que publicou a falha de “Master Key” do Android. Sendo um pouco mais detalhista, a falha é causada pela verificação insuficiente para saber se o certificado é ou não realmente de um emitente válido. O código Java de baixo nível do Android verifica se o subjectDN e o issuerDN batem, mas ele não checa se realmente os dois foram assinados pela mesma chave. Isto permite a um atacante forjar um aplicativo que pula esta checagem ( como eu expliquei no parágrafo acima ) e fazer com que o Android acredite que pode compartilhar a permissão de outro aplicativo.

Para quem gosta de coisas muito mais detalhadas há um relatório on line que vale a pena conhecer.

Falha sendo testada

O plugin webview da Adobe é um alvo perfeito para este tipo de ataque. Após disfarçado como um plugin legítimo de terceiros foi possível enganar o gerenciador de plugins do WebView e assim, se conseguiu uma autorização especial dentro dos sistemas da Adobe. Depois disto, o aplicativo pode escapar desta sandbox e fazer algumas coisinhas divertidas como utilizar o hardware NFC para pagamentos seguros e assumir o controle total do dispositivo sem nenhum aviso ou notificação.

Já deu para ver que o ataque é bem complexo né ?

Fake ID Scanner lhe mostra se você tem a vulnerabilidade no seu Android

Há um aplicativo publicado na Loja do Google, chamado FakeID Scanner que escaneia do seu dispositivo e procura por aplicativos que possam ser explorados utilizando esta vulnerabilidade.

Como é um erro complexo e ainda não foi resolvido o co-criador do Xposed criou um módulo que salva o dispositivo Android deste vulnerabilidade em questão de segundos. Sim, meu amigo, simples assim. Você não terá que modificar nenhuma linha do seu código fonte ou até algum binário específico

A correção, infelizmente, só funciona com dispositivos que tenham root e o Xposed Framework instalados. Para fazer uso do módulo, como qualquer outro módulo do Xposed é só instalá-lo e após isto ativá-lo e reiniciar o seu Smartphone ou tablet.

Após isto, pronto, você está livre da vulnerabilidade de Fake ID.

Há um tópico no XDA onde este módulo está sendo discutido a fundo e caso você tenha interesse, dê um pulo lá.

Ou então, poste por aqui que tentaremos lhe ajudar 🙂 Na dúvida, instale o Xposed e o módulo para se garantir.