Não é de hoje que ouvimos falar sobre vulnerabilidades no Android e sobre como elas podem atingir os seus usuários, e agora, a equipe de pesquisadores Bluebox Labs acaba de descobrir mais uma brecha de segurança no sistema operacional móvel do Google, que afeta 82% dos usuários - incluindo os que utilizam a versão 4.4 do sistema. Esse é um potencial de risco muito alto, e o grupo apelidou a falha de Fake ID.

O que ele faz, basicamente, é dar acesso a usuários mal intencionados para terem controle sobre assinaturas criptográficas sobre aplicativos, conseguindo, dessa maneira, burlar certificados dentro dos dispositivos. Segundo o The Guardian, esse bug permite que o usuário receba privilégios de todo o sistema.

O Android faz um número bem limitado de checagens nos certificados, para verificar se eles são verdadeiros ou não. Esse bug acaba fazendo um número acima desse limite, o que acaba afetando o sistema em si, dando permissões para que ele possa agir como bem entender. Em suma, esse bug não afeta todos os usuários, mas sim aqueles que lidam como seu dispositivo de maneira mais "largada", sem se preocupar tanto com o que instala. É como você assinar algum documento no seu escritório por que não leu direito, quando na verdade, ele é muito mais importante do que o imaginado.

O número de dispositivos afetados corresponde aos dispositivos que utilizam as versões 2.2 e 4.4.

Em uma rápida demonstração, a Bluebox Labs utilizou os certificados da Adobe para validar apps maliciosos - que é claro, não foram criados pela equipe - em verificadores originais do sistema. Essa falha mostrou-se ainda mais grave quando é mostrada validando certificados de NFC para obter acesso ao Google Wallet - carteira digital da Google.

A Google parece já estar trabalhando neste problema e já enviou algumas atualizações para empresas parceiras do Android e do Android Open Source Project (AOSP), mas ainda não se sabe quando o público final deverá colocar as mãos nessas melhorias de segurança.