Nova falha na Google Play permite instalação de apps sem autorização

Uma brecha de segurança descoberta recentemente no Android permite que hackers mal intencionados instalem e executem aplicativos em seu aparelho sem que você saiba (ou autorize a operação).

A tal falha ocorre porque a Google Play Store não possui suporte completo ao X-Frame-Options (XFO), uma medida de segurança que impede que scripts maliciosos sejam aplicados em sites e serviços. Em combinação a essa brecha na loja, navegadores antigos ou muito obscuros e de código frágil podem receber um ataque chamado Universal Cross-Site Scripting (UXSS) e, caso logados a uma conta Google, liberarem acesso à Google Play. É isso que leva à instalação dos tais aplicativos sem autorização.

Por enquanto, o Android Jelly Bean (4.3) foi detectado como principal alvo possível da falha. Quem fez a descoberta foi o gerente de engenharia do Rapid7, Tod Beardsley — uma boa notícia, já que o aviso vindo de um profissional pode fazer com que a brecha seja corrigida pela Google antes de ser utilizada por pessoas de más intenções.

Aprenda a se proteger

Mesmo que a falha ainda não tenha sido explorada de forma criminosa, prevenir é remediar. Para ficar longe desse perigo, recomenda-se que o seu aparelho esteja atualizado na mais recente versão do Android — de preferência, KitKat ou Lollipop.

Além disso, procure utilizar somente navegadores conhecidamente protegidos contra falhas UXSS, como o Google Chrome, o Mozilla Firefox e o Dolphin. Browsers obscuros podem utilizar linhas de código antigas que não garantam essa segurança. Por fim, procure manter-se deslogado de serviços da Google em seu navegador, já que essa é uma das formas de invasão desse ataque.