Spyware no BlackBerry intercepta SMS, e-mail e GPS

A security researcher demonstrated a spyware program at the ShmooCon conference on Sunday that is capable of intercepting and recording text messages, emails, Web traffic and other data sent to and from BlackBerry devices.

Tyler Shields, um pesquisador de segurança sênior da Veracode, mostrou uma demonstração de um programa chamado txsBBSPY, que não utiliza ou explora vulnerabilidades para fazer seu trabalho e é simplesmente uma aplicação legítima escrita para o BlackBerry. A aplicação tem a capacidade de acessar e copiar os contatos do BlackBerry, mensagens de e-mail, registros telefônicos, a atual localização do aparelho e a gravação feita pelo microfone do BlackBerry.

It also can continuously monitor both incoming anf outgoing SMS messages, monitor connected and disconnected calls and track the device's GPS coordinates in real time. The application supports a number of communication protocols, including HTTP, UDP, SMS and email, and can be controlled remotely via simple commands.

Ele também pode monitorar continuamente mensagens SMS, monitoras chamadas e rastrear as coordenadas GPS do aparelho em tempo real. A aplicação suporta vários protocolos de comunicação, incluindo HTTP, UDP, SMS e e-mail, e pode ser controlada remotamente através de comandos simples.

Shields liberou o código-fonte para o txsBBSPY, bem como um conjunto de slides com uma descrição técnica detalhada da aplicação.

Em post no blog da Veracode, Chris Eng diz que não era necessário tentar infiltrar o txsBBSPY na loja virtual BlackBerry World App, simplesmente porque os usuários do BlackBerry pode instalar aplicativos de qualquer lugar, ao contrário dos usuários do iPhone.

"Nosso objetivo foi demonstrar como os aplicativos BlackBerry podem acessar e vazar informações sigilosas, usando apenas as APIs fornecidas pela RIM e sem artifícios ou exploits de qualquer espécie. Nós não fazemos suposições sobre como o aplicativo malicioso será instalado no telefone, e não tentamos colocá-lo na BlackBerry App World. Aplicativos BlackBerry podem ser instalados a partir de qualquer local. Além disso, há tantos exemplos de malware passando pela análise das lojas de apps (Apple, Symbian, Android, etc ) que nós não achamos necessário provar o ponto de novo. Até certo ponto, as lojas oficiais dão aos usuários uma falsa sensação de segurança porque as pessoas vão assumir que tudo na loja deve ser confiável, " Eng escreveu.

A aplicação foi construída usando as APIs que a Research In Motion, fabricante do BlackBerry, disponibiliza para os desenvolvedores. A fim de assinar um aplicativo BlackBerry criado com essas APIs, o desenvolvedor tem de pedir as chaves de assinatura e pagar uma pequena taxa. Uma vez com as chaves, ele pode assinar o app e um hash do código é enviado para a RIM. No entanto, a RIM não obtém o código-fonte do aplicativo.

Uma vez que o usuário instala o txsBBSPY, o proprietário remoto da aplicação tem uma linha direta com o dispositivo BlackBerry. A fim de se defender contra este tipo de ataque, os usuários poderão alterar as permissões do aplicativo em seus BlackBerrys para restringir que ele tenha acesso a dados, Eng escreve. Equipes de TI também pode configurar políticas para prevenir os usuários de instalar aplicações não autorizadas de terceiros.

"Finalmente, convém notar que, enquanto nós escolhemos BlackBerry para a nossa prova de conceito, isto não é apenas um problema do BlackBerry. Todas as plataformas móveis fornecem mecanismos semelhantes para escrever aplicações que têm acesso a informações do usuário, dados potencialmente sensíveis", Eng escreve.

Em um comunicado, a RIM afirmou que era importante compreender que a instalação de aplicações, tais como o txsBBSPY, exige aprovação do usuário.

"Aplicações contendo spyware não podem ser instaladas em um smartphone BlackBerry sem o consentimento explícito do usuário, a menos que alguém tenha a posse do dispositivo do usuário junto com o conhecimento de qualquer senha ativada. Embora seja importante para os usuários de todos os tipos de computadores e dispositivos móveis sempre ter cautela antes de baixar aplicativos, também é importante para compreender o contexto em que o risco deste spyware foi descrito na conferência no domingo e que o aplicativo spyware não pode simplesmente instalar-se furtivamente em um dispositivo de usuário. Além disso, um usuário pode rever e confirmar a lista de aplicativos instalados no seu dispositivo, procurando na área 'Opções' a qualquer momento. "