Oppo Kash deseja acesso root no Android, dando a ele controle total do seu telefone: Pesquisador de segurança

1608293233 Oppo Kash deseja acesso root no Android dando a ele

Oppo Kash, um aplicativo de serviços financeiros que a empresa chinesa, mais conhecida na Índia por seus smartphones, lançou aqui no início deste ano, pede aos usuários acesso root em seus telefones Android que lhe dará controle total dos dispositivos, afirmou um pesquisador de segurança . A boa notícia – o escopo para uso indevido é limitado, já que o acesso root só pode ser obtido em dispositivos que já estão enraizados ou modificados por usuários por meio de um processo root sem sistema. A má notícia – se você estiver usando um telefone Android com root, isso pode dar ao Oppo Kash o controle completo sobre o telefone que está em suas mãos.

O caçador de recompensas de insetos Athul Jayaram descobriu o problema enquanto acessava aleatoriamente o Google Play em um telefone enraizado. Depois de instalar o aplicativo, ele percebeu que o aplicativo Oppo Kash solicitava direitos de superusuário. Isso o pareceu estranho, já que a maioria dos aplicativos populares não tem esses requisitos.

Ele primeiro procurou os desenvolvedores do Oppo Kash, por meio do Oppo Security Response Center. Oppo disse a ele que considerava o problema “sem perigo”, mas ele discordou e apontou que um aplicativo financeiro como o Oppo Kash não deveria estar pedindo acesso root em nenhum caso. “A intenção dos desenvolvedores de aplicativos e da empresa não é certa”, disse ele ao Gadgets 360 após obter esta resposta.

Oppo, em resposta a perguntas do Gadgets 360, disse que estava usando o acesso root no aplicativo Oppo Kash para fornecer segurança aprimorada aos usuários.

“As informações de um usuário podem ser obtidas por ato malicioso de outros aplicativos quando o aplicativo é executado em um dispositivo com acesso root. Para melhor garantir a segurança das informações e bens dos usuários OPPO Kash, bem como a segurança de pagamento, nosso produto possui um código de detecção de segurança ambiental. O objetivo deste código é detectar se o dispositivo atual foi enraizado, para evitar possíveis impactos adversos nas informações dos usuários e na segurança da propriedade. É este mecanismo de segurança que pode levar a mal-entendidos ”, disse Zafar Imam, líder, Oppo Kash, em uma declaração preparada.

Jayram questionou a declaração e disse: “Obter acesso root no Android é o processo de modificar o sistema operacional que acompanha o seu dispositivo para adquirir controle total sobre ele”.

No entanto, o consultor de segurança cibernética Andrew Tierney disse que a seriedade desse problema depende do que está sendo feito. Ele disse: “Alguns aplicativos têm um código que tenta executar um comando root – se funcionar, então ele sabe que o telefone está enraizado. Isso é chamado de detecção de root ou detecção de jailbreak. Não acho que o aplicativo pedirá root Acesso.”

Acesso root significa acesso a todos os dados do seu telefone
Tierney, que recentemente foi notícia por sua pesquisa sobre como os telefones da Xiaomi estavam coletando dados do usuário, disse ao Gadgets 360 que, uma vez que um desenvolvedor obtivesse acesso root por meio de um aplicativo, ele poderia acessar quaisquer dados armazenados no sistema de arquivos do telefone. “Existem algumas pequenas exceções a isso, mas eles podem interceptar todo o tráfego, ver todas as fotos”, disse ele.

Tierney também mencionou que não deve haver motivo para acesso root, exceto para inspecionar como os aplicativos funcionam.

“Não há um bom motivo para um aplicativo de pagamento solicitar o root”, sublinhou. “Um aplicativo normal pode pedir permissões, interagir com o NFC, conectar-se, executar processos, ler contatos. O Root dá acesso a dados armazenados em outros aplicativos, incluindo suas fotos, mensagens, e-mails, quaisquer senhas. Ele também permite que você instale um certificado raiz personalizado e intercepte o tráfego do navegador. ”

No entanto, Tierney também observou que isso só se aplica se um usuário estiver usando um telefone com acesso root. Ele disse que em um telefone sem root, cada aplicativo é executado em uma caixa de areia isolada.

oppo kash superusuário solicitação screenshot gadgets 360 Oppo Kash

Oppo Kash pede privilégios de superusuário em telefones com acesso root

Anteriormente, outras empresas, incluindo Paytm e Facebook, também foram chamadas para solicitar esse nível de acesso dos dispositivos dos usuários. Paytm foi chamado no Twitter para solicitar acesso root e afirmou que isso era exigido pelo Conselho Nacional de Pagamentos da Índia (NPCI) como parte da plataforma de Interface de Pagamentos Unificados. No entanto, após ter sido chamado, o aplicativo parou de solicitar acesso root, conforme relatórios desde o tempo.

Enquanto isso, o Facebook estava executando um aplicativo VPN e estava pagando aos usuários para usá-lo. Em troca, o Facebook estava obtendo acesso a todos os seus dados do usuário – como resultado disso, a Apple revogado Certificado de desenvolvedor do Facebook para a App Store.

Oppo Kash tem quase dois downloads lakh
Disponível para baixar por meio do Google Play, o aplicativo Oppo Kash já tem mais de 1,84 mil downloads. O aplicativo também foi configurado para vir pré-carregado em todos os telefones Oppo, embora não seja uma parte dos aplicativos pré-instalados em alguns dos telefones Oppo recentes, incluindo o Reno 4 Pro.

Aplicativos pré-carregados em smartphones foram examinados no passado, pois nem sempre são fáceis de remover ou desativar. Uma líder de tecnologia da equipe de segurança do Android, Maddie Stone, revelou como aplicativos pré-instalados em dispositivos Android podem prejudicar a privacidade do usuário, enquanto Falando na BlackHat USA, 2019.

Mais de 50 ativistas de privacidade enviaram um carta aberta ao Google no início deste ano, pedindo à empresa que faça mais para defender a privacidade dos usuários do Android. Esse é um problema que afeta mais comumente dispositivos de baixo custo e, portanto, é mais comum em países como a Índia.

O aplicativo Oppo Kash foi lançado em março como a “solução completa” da empresa para oferecer serviços financeiros, incluindo investimentos em fundos mútuos, empréstimos pessoais, empréstimos comerciais e até mesmo seguro de tela.

A Oppo apresentou sua solução, notavelmente, poucos meses depois que seu irmão Realme lançou o aplicativo Realme PaySa no mercado indiano. Ambos Oppo Kash e Realme PaySa são alimentados pela FinShell, subsidiária de fintech da Oppo. No entanto, Jayaram confirmou ao Gadgets 360 que o problema de acesso raiz não está disponível na oferta do Realme.

O aplicativo Oppo Kash também é uma resposta ao Mi Credit da Xiaomi, que foi relançado em dezembro. Jayaram disse ao Gadgets 360 que o aplicativo Mi Credit não requer acesso de root e funciona sem permissões de superusuário em um telefone com root.


Em 2020, o WhatsApp terá o recurso matador que todo indiano está esperando? Discutimos isso no Orbital, nosso podcast semanal de tecnologia, que você pode assinar via Podcasts da Apple ou RSS, baixe o episódioou apenas aperte o botão play abaixo.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *