Uma pesquisa da MWR Infosecurity mostrou as várias maneiras de hackers podem abusar redes de anúncios, explorando vulnerabilidades em aplicativos móveis gratuitos. Quando as pessoas instalam e usam aplicativos gratuitos – mais do que aplicativos pagos – podem entregar suas listas de endereços, o conteúdo do seu SMS , e-mail ou em alguns casos, dando controle total de seus dispositivos. Isso é por causa do código privilegiado injetado nos aplicativos que anunciantes e terceiros usam para rastreamento. Assim, enquanto os usuários podem confiar no desenvolvedor do aplicativo, o código do app inserido pelos anunciantes podem introduzir vulnerabilidades invasores podem explorar e acessar seus dispositivos através do aplicativo. As redes de anúncios tem todas as permissões e os recursos do aplicativo que contém o código da rede. Se o app pode ver suas fotos, pela rede também pode. Se deixar o app ler e enviar e-mail, a rede de anúncios pode e assim por diante. Isto significa que se hackers são bem sucedidos em penetrar nas defesas de segurança da rede de anúncios, eles terão acesso aos mesmos dados também. Um pesquisador sênior de segurança Robert Miller de MWR explicou: “A maioria dos dispositivos móveis contém um modelo de segurança que significa app A não pode ver facilmente os dados do app B e também não pode usar as mesmas permissões.

Então, se o app A pode ver o seu SMS e app B não pode, app B não pode pedir para o seu app A SMS. “No entanto, se app A e B app conter código da mesma rede de anúncios, então pela rede ele possa ver seu SMS, se assim o desejar. As redes de anúncios realmente contém essa funcionalidade e é referido como os dados dos aplicativos cruz ‘. Se os atacantes se inserir na imagem, tirando partido destas vulnerabilidades em codificação, é altamente provável para eles roubar dados do usuário. ” Os criminosos podem comprometer Apple e dispositivos Android, aproveitando o código embutido dentro anúncios para dispositivos móveis. Ao fazê-lo, os anunciantes poderiam realizar uma lista de compras de ações inesperadas, incluindo:

Coletar dados pessoais e sensíveis (e expô-la aos curiosos acompanhe a sua localização via GPS)
Fotos de acesso e outros arquivos armazenados em locais acessíveis (como o cartão SD em dispositivos Android)
Ler, escrever e apagar arquivos
Enviar mensagens SMS / Ler e-mail e / ou fazer chamadas telefônicas
Ligar e usar a câmera / microfone
Atualizar dinamicamente e instalar códigos / aplicações
Executar comandos arbitrários.

Existem diferenças fundamentais na coleta de dados móveis concretizada através da publicidade quando comparado com mais propagandas de sites tradicionais e alertam os usuários para serem vigilantes quando a concessão da permissões de aplicativos móveis. “Dados de localização muito mais precisa pode ser capturado a partir de um dispositivo móvel através do seu GPS e alguns aplicativos exigem a capacidade de acessar legitimamente contatos do proprietário de um dispositivo ou informações de diretório, bem como fotos”, disse Miller. “Os consumidores precisam entender o eco- sistema de aplicações móveis. Aplicativos gratuitos são suportados por redes de publicidade do comércio de dados. Enquanto os usuários não podem estar pagando para esse aplicativo bacana em termos monetários, eles vão pagar com suas informações. E isso significa que os dados do usuário é tão seguro como a rede de publicidade. ” “O que nós demonstramos foi que, devido ao código de publicidade vulnerável e privilegiada, o próprio app foi prejudicada”, continuou ele. “Os anunciantes precisam assumir mais responsabilidade pela segurança e nos usuários nesse interim, duplicando a sua vigilância contra a ser excessivamente blasé sobre deixar aplicativos acessem seus dados móveis sensíveis. ” Miller sugeriu que os usuários devem ler as permissões do aplicativo pedido antes de instalá-lo. “Infelizmente, raramente existe a chance de escolher e escolher as permissões que você estará confortável, por isso, se você não concordar com qualquer uma das permissões solicitadas, não instale o app “, disse ele.

Fonte: Net Security http://www.net-security.org/secworld.php?id=17783