Um aplicativo de impressão Android da Kyocera é vulnerável a manipulação incorreta de intenções, permitindo que outros aplicativos maliciosos abusem da falha para baixar e potencialmente instalar malware em dispositivos.
De acordo com um aviso de segurança da JVN (Japanese Vulnerability Notes), um portal apoiado pelo governo dedicado a conscientizar sobre questões de segurança, o problema, a falha é rastreada como
CVE-2023-25954
.
Embora a lista de aplicativos tenha diferentes editores, eles são baseados no mesmo código; portanto, a vulnerabilidade afeta todos os três.
A KYOCERA publicou um boletim de segurança sobre o problema ontem, instando os usuários de seu aplicativo de impressão a atualizarem para a versão 3.2.0.230227, atualmente disponível via Google Play.
"A classe de aplicativos KYOCERA Mobile Print permite a transmissão de dados de aplicativos móveis maliciosos de terceiros, o que pode resultar no download de arquivos maliciosos", diz o aviso do fornecedor.
"E, usando a funcionalidade do navegador da web KYOCERA Mobile Print, sites maliciosos podem ser acessados e arquivos maliciosos podem ser baixados e executados, o que pode levar à aquisição de informações internas nos dispositivos móveis."
Para que tal ataque ocorra, o usuário também deve instalar um segundo aplicativo malicioso em seu dispositivo que irá acionar o download do payload.
Apesar dessa exigência mitigar a gravidade da falha, seria fácil distribuir um aplicativo malicioso que aproveitasse o problema, já que não precisaria incluir código arriscado, solicitar a aprovação de permissões arriscadas na instalação, etc.
Em vez disso, ele só precisaria verificar a presença desses aplicativos vulneráveis e abusá-los para instalar malware.
A próxima versão do Android 14 está preparada para lidar com intenções de forma mais segura, mitigando os riscos associados e tornando mais difícil ocultar a verdadeira natureza das trocas de dados "sob o capô".
A partir do Android 14, a troca de intenções entre aplicativos será restrita, exigindo a definição de destinatários específicos pelo remetente, a declaração de que informações um aplicativo precisa receber de outros aplicativos e se os receptores devem ou não ser limitados a transmissões do sistema.
Esse aprimoramento de segurança protegeria aplicativos privilegiados como utilitários de impressão de intenções maliciosas enviadas por outros aplicativos em execução no mesmo dispositivo.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...