• Pesquisadores são Bem Sucedidos em Ataque a Android Usando Auto-falante do Aparelho

    Um grupo de pesquisadores da Universidade Chinesa de Hong Kong, demonstrou que até mesmo aplicativos com "zero" de permissões podem ser usados ​​para lançar ataques que permitem que os atacantes possam forjar mensagens de texto e e-mail, acessar informações privadas, receber dados sensíveis, e até mesmo, obter o controle remoto do dispositivo alvo. Com um teste realizado em um Samsung Galaxy S3, em um Meizu MX2 e um A953 Motorola, a "GVS-Attack" foi um sucesso, independentemente se o dispositivo estava funcionando na versão oficial ou no CyanogenMod Android OS.


    "GVS-Attack utiliza um system built-in módulo assistente de voz - Google Voice Search", explicam os pesquisadores em um paper, e invoca o alto-falante a partir do dispositivo. "Através do mecanismo utilizado, VoicEmployer (o aplicativo de ataque), aciona o Google Voice Search para o primeiro plano e, em seguida, reproduz arquivos de áudio preparados (como "número de chamada 1234 5678") no background.

    Além disso, Google Voice Search pode reconhecer este comando de voz e executar operações correspondentes. "Os pesquisadores também descobriram uma vulnerabilidade no status do check-in Google App Search, que pode ser explorado pela GVS-Attack para fazer chamada arbitrária para números maliciosos. Isto pode ser executado mesmo quando o dispositivo estiver bloqueado e protegido com uma senha, de preferência nas primeiras horas da manhã, quando é mais provável que o proprietário do dispositivo esteja dormindo. Para colocar em prática o ataque, um aplicativo malicioso - neste caso, seu próprio VoicEmployer - tem que ser instalado no telefone do alvo e ser executado.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=17178

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L