▲
- Pesquisadores identificaram uma vulnerabilidade no OxygenOS que permite acesso a mensagens SMS sem permissão.
- Você deve tomar cuidados especiais para evitar que aplicativos maliciosos leiam seus SMS e comprometam sua segurança.
- Essa falha pode afetar a privacidade dos usuários de dispositivos OnePlus, permitindo acesso não autorizado a dados pessoais.
- Enquanto não há correção oficial, recomenda-se usar autenticação por apps e evitar apps suspeitos para proteger suas informações.
Pesquisadores da Rapid7 identificaram uma vulnerabilidade no OxygenOS, sistema operacional da OnePlus que é baseado em Android. Essa falha permite que qualquer aplicativo instalado no aparelho acesse todas as mensagens de texto e seus dados, tudo isso sem a sua autorização. A empresa de segurança tem avisado a OnePlus sobre o problema desde maio, mas a vulnerabilidade ainda não foi corrigida.
Quando essa falha é explorada, um aplicativo consegue ler os dados e metadados de SMS/MMS diretamente do provedor de telefonia do sistema, que é o pacote com.android.providers.telephony. O acesso acontece sem que você precise dar qualquer permissão ou ser notificado. Isso abre a porta para que criminosos consigam informações importantes e até burlem as verificações de segurança que usam SMS, como a autenticação de dois fatores.
A fundo na vulnerabilidade no OxygenOS
A situação acontece porque a OnePlus adicionou alguns “atalhos” no sistema, chamados de content providers. Eles são usados para que diferentes partes do sistema e outros aplicativos possam trocar dados. O problema é que esses atalhos foram configurados de um jeito que não exigem permissões especiais e, ainda por cima, aceitam comandos que podem ser maliciosos.
Com uma técnica conhecida como blind SQL injection, um aplicativo consegue “puxar” as informações dos SMS em pequenas partes. É como montar um quebra-cabeça, mas de forma mais demorada. Eventualmente, o conteúdo completo das mensagens pode ser reconstruído, mostrando que essa técnica é eficaz, mesmo que não seja instantânea.
É importante saber que todos os smartphones Android utilizam um provedor de conteúdo fundamental, o provedor de telefonia. Este é o pacote com.android.providers.telephony, responsável por armazenar e permitir o acesso às mensagens SMS e seus metadados. Ele é uma peça-chave no funcionamento da comunicação por texto em qualquer aparelho Android.
Leia também:
Nos dispositivos da OnePlus, contudo, as configurações de algumas permissões desse provedor podem estar vulneráveis. Isso ocorre porque eles usam apenas o atributo readPermission, que dá acesso irrestrito para a leitura de mensagens de texto. Outros provedores de conteúdo, por exemplo, também usam o atributo writePermission.
Essa diferença, aparentemente pequena, faz com que os celulares não consigam controlar qual aplicativo pode inserir, atualizar ou apagar dados. Na prática, o sistema entende que não há restrição para nenhum aplicativo que tente realizar operações de escrita. A Rapid7, empresa de segurança, analisou o OxygenOS e o comparou com outros sistemas operacionais, notando que esta falha é específica dos aparelhos da OnePlus.
Como se proteger da exposição dos seus dados
Já que ainda não existe um pacote de segurança liberado pela própria OnePlus para corrigir essa falha, algumas medidas podem ser tomadas para diminuir sua exposição. Essas ações ajudam a manter seus dados mais seguros enquanto a solução oficial não chega.
Confira algumas dicas simples para se proteger:
- Instale apenas aplicativos de fontes em que você confia e, se possível, remova qualquer app que não seja essencial. Isso diminui bastante o risco de ter um aplicativo malicioso explorando essa vulnerabilidade para ler seus SMS e MMS.
- Verifique quais serviços de terceiros ainda usam SMS para a autenticação de dois fatores (MFA). Se encontrar, mude para um aplicativo autenticador. Assim, informações delicadas não serão enviadas por SMS, tornando o processo mais seguro.
- Para garantir mais privacidade nas suas conversas, prefira usar aplicativos de mensagens que ofereçam criptografia de ponta a ponta. Dessa forma, suas informações importantes não ficam circulando de forma vulnerável através do SMS.
- Se você recebe notificações de serviços por SMS, veja se é possível trocar para notificações push dentro do próprio aplicativo. Isso também evita que dados importantes cheguem ao seu celular por mensagens de texto.
É fundamental estar atento às atualizações de segurança e às notícias sobre o tema para garantir a proteção dos seus dados em um cenário digital em constante mudança. Ficar por dentro das novidades ajuda a tomar decisões mais seguras sobre o uso do seu aparelho.
Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.
