Esses três telefones Samsung Galaxy tiveram vulnerabilidades exploradas por um invasor

De acordo com um post do blog de Projeto Zero do Google (Passando por Tecnologia Crunch), um trio de vulnerabilidades de dia zero em alguns telefones Samsung Galaxy mais recentes foram explorados por um fornecedor de vigilância comercial. Essas empresas podem ser empresas de telecomunicações ou tecnologia que rastreiam seus clientes com o objetivo de monetizar dados pessoais enviando anúncios personalizados. Ou poderia ser mais sinistro (mais sobre isso abaixo).

Alguns aparelhos Samsung Galaxy usando o chipset Exynos interno tinham essas vulnerabilidades

De acordo com Comissão Federal de Comércio, essas empresas se dedicam à “coleta, agregação, análise, armazenamento, transferência ou monetização de dados do consumidor e derivados diretos de tais informações”. E além de prejudicar os consumidores com essas ações, a FTC busca coletar informações que demonstrem que essas ações levam a danos psicológicos, danos à reputação e intrusões indesejadas que ocorrem durante a coleta desses dados pessoais.

Mas esta situação particular poderia ser mais grave. Enquanto Google não nomeou um provedor de vigilância comercial específico, disse que o modelo se assemelhava a uma exploração anterior que entregava “poderoso spyware de estado-nação” por meio de um aplicativo Android malicioso. As vulnerabilidades encontradas no software personalizado da Samsung faziam parte de uma cadeia de exploração que permitiria ao invasor obter privilégios de leitura e gravação do kernel que poderiam revelar dados pessoais no telefone.
A exploração tem como alvo os aparelhos Samsung Galaxy equipados com um Exynos SoC usando o kernel 4.14.113. Os telefones que se encaixam nessa descrição incluem o Samsung Galaxy S10, Galaxy A50 e Galaxy A51. As versões desses telefones vendidos nos Estados Unidos e na China são equipadas com um chipset Qualcomm Snapdragon, enquanto na maioria dos outros continentes, como Europa e África, é usado o Exynos SoC. O Google diz que a exploração “depende do driver Mali GPU e do driver DPU, que são específicos para telefones Exynos Samsung”.
Os problemas começaram quando um usuário foi induzido a carregar um aplicativo em seu telefone. Nesse caso, sideload significa baixar um aplicativo de uma loja de aplicativos Android de terceiros que não seja a Google Play Store. O Google informou Samsung sobre as vulnerabilidades em 2020 e, embora Sammy tenha enviado um patch em março de 2021, a empresa não mencionou que as vulnerabilidades estavam sendo exploradas ativamente.

Maddie Stone, do Google, que escreveu a postagem no blog, diz: “Analisar essa cadeia de exploração nos deu novos insights importantes sobre como os invasores estão atacando os dispositivos Android. Stone também apontou que, com mais pesquisas, novas vulnerabilidades podem ser descobertas em software personalizado usado em dispositivos Android por fabricantes de telefones como a Samsung. Stone acrescentou: “Isso destaca a necessidade de mais pesquisas sobre componentes específicos do fabricante. Isso mostra onde devemos fazer mais análises de variantes”.

Use a seção de comentários na Play Store ou uma loja de aplicativos Android de terceiros para verificar se há sinais de alerta

No futuro, a Samsung concordou em divulgar quando suas vulnerabilidades são exploradas ativamente ao ingressar Maçã e Google. Esses dois últimos fabricantes já alertam os usuários quando tal evento ocorre.
De volta em junho nós falamos sobre o spyware chamado Hermit que tem sido usado por governos em vítimas visadas na Itália e no Cazaquistão. Semelhante ao problema de segurança visto nos três telefones Galaxy com Exynos, o Hermit exigiu que um usuário carregasse um aplicativo malicioso. Eventualmente, esse malware roubaria contatos, dados de localização, fotos, vídeos e gravações de áudio do aparelho da vítima.
Uma regra rápida e suja que ainda pode funcionar hoje em dia é revisar cuidadosamente a seção de comentários antes de instalar um aplicativo de um desenvolvedor do qual você nunca ouviu falar antes. Se alguma bandeira vermelha aparecer, fuja rapidamente da listagem deste aplicativo e nunca olhe para trás. Outra boa dica é não carregar nenhum aplicativo. Sim, os aplicativos com malware muitas vezes passam pela segurança do Google Play, mas provavelmente é ainda menos provável que você seja “infectado” ao carregar aplicativos da Play Store.