O Ars Technica indica que o problema está relacionado com uma interface de programação conhecida como WebView que permite embutir conteúdo baseado na web em apps usadas por bancos e outras de entretenimento. A falha de segurança reside no facto de as aplicação não protegerem a ligação entre o componente WebView no telefone e o conteúdo descarregado da Net, o que possibilita a um hacker injetar componentes maliciosos em redes Wi-Fi abertas.
Os investigadores da MWR Labs dizem que dependendo do dispositivo, o ataque “poderia levar à obtenção de privilégios de root” o que permitiria obter dados privados do utilizador. Outros grupos de segurança estão também cientes da vulnerabilidade e confirmam-na. Einar Otto Stangvik, um consultor de segurança no Inved.no diz que há apps de bancos na Noruega vulneráveis a este tipo de ataque e indica estar confiante de que “em breve veremos muitos mais ataques cruzados, onde um computador comprometido começa a atacar telefones na rede interna”.
Apesar de grave, o Ars Technica indica que existem limitações no Android que minimizam os estragos que um atacante pode fazer. Um exemplo são as permissões e mecanismos de sandboxing do Android, que impedem uma app de instalar o que seja sem permissão explícita do utilizador. Há também a opção “Verify Apps” disponível em todas as versões do Android que pode ser usada para impedir instalações maliciosas. A partir da versão 4.2 há também uma nova opção de segurança que permite restringir este tipo de ameaça, mas que está dependente da correta implementação por parte do programador. Infelizmente, os investigadores da MWR Labs descobriram que muitas das apps mais populares não são de confiança no que toca a boas práticas de programação e segurança.
