A empresa de segurança TrustWave realizou recentemente uma prova de conceito com os dispositivos de segurança implementados pela Google em sua loja de aplicativos Google Play, e os resultados foram preocupantes: todos os malwares implementados em atualizações de um aplicativo-teste disponibilizadas na loja virtual passaram sem qualquer tipo de problema ou fiscalização.
A pesquisa foi iniciada no começo do ano, após a implementação do mecanismo de segurança Google Bouncer na Google Play, em fevereiro, depois de uma série de escândalos envolvendo malwares encontrados em apps vendidos na loja. A partir daí, a TrustWave decidiu testar essa funcionalidade. A empresa criou um aplicativo, chamado “SMS Broker”, que foi posto na loja sem nenhuma funcionalidade maligna. “Não fizemos um ataque hacker, mas sim o que qualquer desenvolvedor de apps poderia fazer dentro da loja da Google”, disse Luiz Eduardo dos Santos, analista da TrustWave. Uma vez que o aplicativo já estava à disposição, a empresa começou a lançar atualizações, estas sim contendo malwares, como interceptação de mensagens SMS, desvio de fotos e arquivos compartilhados, detecção da localização do usuário, entre outras funções que violavam a privacidade do usuário. O resultado foi espantoso: nenhum dos malwares introduzidos nas atualizações do app foi detectado pelo Google Bouncer.
“Não sabemos dizer se é um problema geral, ou somente com atualizações de apps. Mas o fato é que nenhum dos malwares introduzidos por nós na Google Play foi detectado. O mecanismo de proteção praticamente não funcionou”, disse ele, ressalvando que o aplicativo foi posto na loja virtual a um preço altíssimo para que nenhum usuário efetivamente o comprasse. “Não roubamos dados de nenhum usuário. Os efeitos foram simplesmente para análise interna”.
Segundo Santos, a Google já está em posse dos resultados da pesquisa, e está tomando as providências cabíveis para sanar o problema. “Este não é especificamente um problema da plataforma Android, mas sim das lojas virtuais. Por isso, pode acontecer com qualquer plataforma, desde que não sejam tomadas as medidas de segurança necessárias. Nossa impressão é de que, do jeito que o Bouncer foi feito, não se pensou em algumas das alternativas que foram testadas por nós. Mas os defeitos podem ser sanados, é só uma questão de implementar maiores dispositivos de detecção”, afirmou.
Cabe destacar que a Google vem se esforçando na tentativa de reduzir os problemas de segurança na Google Play. Nesta semana mesmo houve mudanças nesse sentido, conforme noticiado por Mobile Time.