Foi, durante meses, um segredo bem guardado. Mas na passada sexta-feira o mundo ficou a saber que os smartphones Samsung estiveram expostos, durante meses, a um conjunto de vulnerabilidades que, quando exploradas em conjunto, tinham um desfecho gravíssimo – um pirata informático tanto podia roubar dados sensíveis do smartphone da vítima, como podia escolher simplesmente ativar uma espécie de interruptor (kill switch) que apagava tudo o que existia no dispositivo, fazendo um restauro de fábrica. O autor das descobertas é português e revelou, pela primeira vez, detalhes sobre estes problemas na DEF CON, a maior conferência de hacking e segurança informática do mundo.
Pedro Umbelino, um experiente investigador de segurança informática – e autor da descoberta de outras falhas graves em smartphones Samsung e Google –, estava a fazer, no início de 2019, uma auditoria, em nome da empresa da segurança informática Char49, ao smartphone Galaxy S8. Durante este trabalho, houve um elemento que chamou a atenção de Pedro: a aplicação Find My Mobile, que vem pré-instalada nos smartphones Samsung e permite aos utilizadores encontrarem o smartphone caso o percam ou tenha sido roubado, tentava ler um ficheiro no cartão SD (mesmo que não houvesse um no smartphone).
“Após análise do que é que o programa estava a tentar fazer com esse ficheiro, descobri que estava a ler endereços de servidores que depois podiam ser usados para comunicar com a backend [infraestrutura técnica] do Find My Mobile”, explicou em entrevista à Exame Informática. “Então comecei a brincar com isso, a mudar o endereço e a ver o que conseguia manipular ou que informação conseguia tirar”.
Através da criação de uma aplicação de intuito malicioso – mas que para o utilizador podia ser um simples jogo de telemóvel –, que tivesse permissão de acesso ao armazenamento do smartphone, era possível criar o tal ficheiro que a aplicação estava a tentar ler e mudar os endereços dos servidores. Este cenário permitia ao atacante colocar-se entre o utilizador e o servidor, monitorizando os pedidos que eram feitos através da aplicação Find My Mobile. Mas esta foi apenas uma de um total de quatro vulnerabilidades que Pedro Umbelino encontrou.
Escalar a gravidade
Na segunda falha, foi descoberta uma forma de forçar a aplicação Find My Mobile a usar os endereços de servidores que foram criados no ficheiro relativo à primeira falha – o que na prática permitiria a um pirata informático apontar os utilizadores para um servidor que controlava e começar a recolher as primeiras informações, que vão desde o código único associado a cada smartphone (IMEI), o endereço de ligação à internet (IP) e outros códigos de informação pessoal identificável (PII) que ajudariam a descobrir a localização e a identidade do utilizador do smartphone. A pior parte? “O utilizador não tem qualquer sinal de que está a acontecer por trás”, conta Pedro Umbelino.
O investigador descobriu ainda que quando a aplicação tentava fazer um registo, ligando-se ao servidor falso, o servidor de registo verdadeiro e pertencente à Samsung revelava o endereço de outros servidores da infraestrutura da aplicação Find My Mobile, incluindo um, chamado de servidor de ações, que faz a ligação entre a versão web da aplicação e o smartphone do utilizador. Na prática, o smartphone liga-se ao servidor de ações para perceber se o utilizador executou, através da web, alguma das funcionalidades que estão disponíveis.
Criando um segundo servidor malicioso, é possível enganar a aplicação para que se ligue ao servidor que é controlado pelo pirata informático. A ‘cereja no topo do bolo’ surge com a descoberta de uma falha no sistema de autenticação e encriptação de ligação ao servidor de ações. “Nós, enquanto atacantes, não mexemos nesses processos de autenticação, fazemos um ataque ‘man in the middle’ [interceção de dados] ao processo de autenticação: o smartphone contacta o servidor de ações sob controlo do atacante, faz ligação legítima ao servidor de ações original, transfere pacotes [de informação]”. O último passo é injetar as ações que quiser no telemóvel. Qualquer ação que é possível fazer no Find My Mobile.
Explorando, em conjunto, as quatro vulnerabilidades descritas, começam os danos a sério para as vítimas.
Ativar o kill switch
Num vídeo de prova de conceito que atesta as descobertas, em determinado momento, Pedro Umbelino ativa um comando que faz o smartphone desligar-se. Mas não é só isso que está a acontecer: o investigador português acabou de dar ordem de restauro de fábrica ao dispositivo, apagando todos os dados – mensagens, chamadas, fotos, vídeos, documentos, informações guardadas localmente de aplicações – que existem no smartphone. “Tem consequências desastrosas para os utilizadores”, detalha o white hacker (ou hacker ético) português, que garante que afetava todos os smartphones com o Find My Mobile instalado, incluindo modelos topo de gama como os Samsung Galaxy S8 e S9 – uma superfície de ataque que segundo Umbelino, “era gigantesca”.
Na prática, qualquer comando que é possível executar através da versão web do Find My Mobile – sendo um deles o reset ao smartphone ou então a recuperação de mensagens ou registo de chamadas –, era executável por Pedro Umbelino ou por um pirata informático que tivesse feito as mesmas descobertas. “Não é ataque complexo para um profissional da área, mas também não é simples para um iniciante”, sublinha ainda a propósito de quão fácil seria explorar estas vulnerabilidades.
No pior dos cenários, um pirata informático podia lançar uma app que se fizesse passar por um jogo e, num momento que considerasse oportuno, fazer um ataque coordenado que podia resultar na limpeza completa de dados em milhares de smartphones em simultâneo ou então no seu bloqueio através de um PIN, pedindo depois um resgate para o desbloqueio.
“A Samsung leva a segurança a sério e está comprometida em providenciar uma experiência segura e protegida aos clientes. Em 2019, um investigador independente de segurança reportou uma vulnerabilidade através do Programa de Recompensas de Segurança em Dispositivos Móveis relativamente a um dos nossos serviços, a aplicação Find My Mobile. Desenvolvemos e lançámos uma correção de segurança em 2019 através de uma atualização de software para responder ao problema reportado. Recomendamos que todos os utilizadores mantenham os seus dispositivos atualizados com a versão mais recente do software para garantir o mais alto nível de proteção possível”, disse a Samsung num comentário enviado à Exame Informática.
No final, Pedro Umbelino foi premiado com uma recompensa de dez mil dólares pelas descobertas feitas, cerca de 8400 euros ao câmbio atual. Reportada em fevereiro de 2019 à Samsung, a vulnerabilidade foi reconhecida como “crítica” pela tecnológica sul-coreana no dia 1 de abril. No dia 4 de julho, a Samsung publicava, através da Galaxy Store, uma atualização que corrigia os problemas. Pedro Umbelino e a empresa Char49 escolheram não revelar de imediato detalhes sobre a falha, fazendo um ‘silêncio’ de nove meses – devido à gravidade do problema e à expectável demora para que um grande número de utilizadores fizesse as atualizações.
Daí que só na DEF CON e já com vários meses de distância relativamente ao problema, é que se ficou a conhecer a existência deste interruptor nos smartphones Samsung. Mais detalhes técnicos sobre as falhas podem ser consultados aqui.
