Se você é um daqueles que usam o navegador Android básico (aquele que é incluído por padrão em muitos terminais) e que é baseado no WebKit de código aberto, você deve saber que neste uma falha de segurança foi descoberta que pode ser explorada para executar ações não autorizadas que podem colocar a segurança do seu terminal em risco .
A primeira coisa a saber é que o buraco afeta o navegador básico que estava incluído no sistema operacional antes do Google decidir usar o Chrome, mas a verdade é que há um bom número de usuários que ainda o usam regularmente (este é um dos problemas do fragmentação no Android). Estes são os que podem apresentar problemas e a percentagem pode facilmente aumentar, visto que alguns também Os fabricantes criaram seus próprios desenvolvimentos baseados no WebKit.
O fato é que, aproveitando a vulnerabilidade conhecida, é possível executar código JavaScript com “exploits”, leia os cookies a partir do terminal, descobrir senhas armazenadas e até mesmo enviar e-mails. Tudo isso sem que o usuário precise confirmar nada. Isso é possível, segundo seu descobridor (Rafay baloch), contornando a política de segurança SOP (Same Origin Policy), que protege contra a execução de scripts não autorizados com o navegador. A vulnerabilidade existe e, portanto, deve ser levada em consideração. cuidado ao navegar para certas páginas.
É uma vulnerabilidade muito perigosa?
Se você estiver usando as versões mais atuais do Android, como o KitKat, o risco é quase inexistente (apesar de algumas partes do antigo que é afetado serem usadas no navegador Chrome), daí a importância de atualizar regularmente o sistema operacional e que os fabricantes os liberem rapidamente.
Considerando os dados históricos de uso, nem todos os dispositivos são atualizados, portanto, uma parcela significativa dos usuários pode ser afetada (embora eles devam ser capazes de encontrar código muito específico nos sites que visitam, o que reduz o risco potencial). Quase todos eles têm dispositivos mais antigos e não estão bem atualizados em termos de software.
Para dimensionar o alcance, vale lembrar que no mobile O Chrome tem a maior participação (aproximadamente dois terços do mercado), o Safari detém pouco mais de um quinto, seguido por navegadores como Samsung Internet, Opera e Firefox, todos com participações menores. Essa concentração significa que qualquer falha em mecanismos de renderização, recursos como preenchimento automático ou componentes de rede tem um impacto significativo se o usuário não atualizar.
Quais técnicas os invasores exploram em navegadores móveis?
Os incidentes mais explorados em navegadores móveis se enquadram em padrões bem conhecidos. Integrá-los ao seu modelo de risco ajuda você a decidir o que desabilitar e o que observar:
- Escalonamento de privilégios e autenticação web (por exemplo, WebAuthentication): falhas de implementação podem permitir a instalação de malwares com HTML malicioso, conforme demonstrado por relatórios como o CVE-2024-9956 no Chrome para Android.
- XSS e injeção de interface (por exemplo, Omnibox/Multibox): Validações insuficientes permitem que um invasor, após induzir certos gestos da IU, injetar scripts ou HTML (caso típico de CVE-2024-8907).
- Abuso de preenchimento automático- Páginas falsificadas podem explorar o preenchimento automático para exfiltrar dados (conforme descrito por CVE-2024-8639).
- Serviços de entrega de conteúdo (por exemplo, Chrome Media Router/Chromecast): eles podem ser explorados para ações remotas se o navegador não for atualizado (conforme documentado em CVE-2024-8637).
- Guias personalizadas: falhas de gestão permitem abrir milhares de abas ou gerar condições de negação de serviço (família CVE-2024-8034).
- Corrupção de memória e gerenciamento de estado (Safari/WebKit): Falhas de memória podem expor informações confidenciais, interromper o tráfego ou causar DoS e vazamento de cookies (casos como CVE-2024-54534, CVE-2024-54508, CVE-2024-54505, CVE-2024-44309 e CVE-2024-44259).
- Erros de segurança de memória, JIT e OOM (Firefox/Gecko): Condições de memória, animação ou JIT podem levar a execução de código o clickjacking em uploads de arquivos (CVE-2024-9680, CVE-2024-9936, CVE-2024-9397, CVE-2024-9403, CVE-2024-9400).
A conclusão técnica é clara: se o navegador ou seu mecanismo não for corrigido, qualquer vetor cotidiano (preencher formulários, abrir uma aba personalizada, usar o preenchimento automático ou enviar conteúdo para outro dispositivo) pode se tornar um gateway.
Navegadores de IA: Nova Superfície de Ataque
Os navegadores “agentes” com IA prometem automatizar tarefas (resumir páginas, concluir compras, responder e-mails), mas também introduzem riscos: um invasor pode instruções de injeção conteúdo malicioso para a IA executar ao resumir ou analisar uma página. Pesquisadores mostraram que comentários ocultos ou texto invisível em fóruns podem levar um navegador de IA a vazar credenciais ou executar ações sem confirmação explícita.
Mitigações recomendadas pelo setor: separar rigorosamente as solicitações dos usuários do conteúdo não confiável do site, interação de demanda humano para ações sensíveis (acesso a senhas, envio de e-mails), limitação de permissões de agentes e reforço da verificação em duas etapas com aplicativos de autenticação.
Um problema com uma solução
Considerando essas possibilidades, a vulnerabilidade pode ser considerada grave. No entanto, os usuários têm uma solução simples. Como a falha afeta computadores que utilizam o navegador básico, ela pode ser evitada instalando e usando outros navegadoresUm exemplo seria Chrome, Firefox ou Dolphin. O Google relatou que o problema foi reproduzido e, portanto, está trabalhando para resolvê-lo. Além disso, o uso controlado das páginas acessadas reduz os riscos quase completamente. É um novo episódio de problemas de segurança no sistema operacional do Google.
Além de mudar de navegador, aplique estas práticas: mantenha Android e aplicativos atualizados; desabilitar o preenchimento automático em sites duvidosos; revisar permissões de extensão e push; evitar APKs de fontes não confiáveis; habilitar proteção antiphishing; e usar 2FA em serviços críticos.
Foi descoberta recentemente uma vulnerabilidade no Chrome para Android que pode comprometer qualquer dispositivo Android. Saiba mais sobre isso aqui.
A segurança dos nossos dispositivos eletrónicos é uma questão que, ao longo do tempo, se tem tornado cada vez mais relevante, uma vez que muitas das nossas informações pessoais podem ser expostos. Em uma conferência de segurança, um pesquisador demonstrou uma falha no Chrome que pode afetar a maioria dos dispositivos Android, mesmo os mais recentes: basta que o usuário visite um site infectado para que o invasor assuma o controle.
“O impressionante sobre o exploit é que ele funciona com um único golpe; a maioria dos exploits requer múltiplas vulnerabilidades para obter acesso privilegiado e instalar software sem interação”, explicou o organizador do evento. Por razões de segurança, o método não foi revelado, mas foi detalhado que uma única falha no mecanismo JavaScript era suficiente para instalar um aplicativo sem que o usuário perceba e, assim, assuma o controle do dispositivo.
O Google tomou medidas, e o autor da descoberta contatou autoridades de segurança e se candidatou a programas de recompensa por vulnerabilidades. Enquanto isso, é uma boa ideia ter extremo cuidado com links. evite sites não confiáveis e atualize o Chrome assim que os patches estiverem disponíveis.
fonte: ArsTechnica.
A combinação de um navegador básico desatualizado, recursos avançados como preenchimento automático, guias personalizadas ou agentes de IA e hábitos inseguros pode aumentar o risco; mantenha seu software atualizado, use navegadores robustos e aplique boas práticas reduz drasticamente a superfície de ataque.