🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Vulnerability Intelligence

Usuários de aplicativos Android populares correm o risco de serem comprometidos por meio de ferramentas de migração de dispositivos altamente privilegiadas

Os pesquisadores da CloudSEK identificaram que vários aplicativos não invalidam nem revalidam os cookies de sessão se os dados do aplicativo forem transferidos de um dispositivo para outro.
April 28, 2023
8
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

CloudSEKOs pesquisadores da identificaram que vários aplicativos não invalidar ou revalidar os cookies de sessão se os dados do aplicativo forem transferidos de um dispositivo para outro. Usando uma ferramenta de migração de dispositivos altamente privilegiada, os agentes de ameaças podem mover aplicativos para um novo dispositivo Android, causando problemas de migração. É por isso que alertamos contra o uso de outros aplicativos de migração de dados: Isso significa que, se uma pessoa conseguir ter acesso físico ao seu dispositivo desbloqueado por algum tempo, ela poderá copiar os dados do aplicativo em seu dispositivo e se passar por você e por suas contas, usando os aplicativos em seu nome sem inserir ID de login ou senhas. Em certos aplicativos, como o WhatsApp, os atores também podem ignorar o mecanismo 2FA.

Esse problema acontece quando as chaves secretas usadas pelo WhatsApp são copiadas para o novo telefone. Por isso, do lado do Whatsapp, esses dois dispositivos parecem iguais, pois usam as mesmas credenciais para se autenticar conosco.

Para confirmar e mostrar nossas descobertas, os pesquisadores do CloudSEK realizaram um teste em dois Realme dispositivos, como RMX2170 e RMX3660, usando o aplicativo Clone Phone. Esse aplicativo é um recurso padrão que vem pré-instalado em dispositivos baseados em ColorOS, como Realme e Oppo. O mesmo teste também foi verificado em Oneplus e Oppo dispositivos. No entanto, é importante notar que o compartilhamento de dados de aplicativos de dispositivos Samsung com um único clique atualmente não é viável. Portanto, o teste não teve sucesso na Samsung.

Em resumo, a transferência de dados de um telefone antigo para um novo inclui a transferência de dados e sessões do aplicativo. Nossa investigação revelou certos aplicativos que persistem em execução no novo dispositivo sem invalidar os cookies de sessão. Você pode consultar a tabela abaixo para obter uma lista desses aplicativos.

Aplicativos que não conseguiram invalidar os cookies de sessão

  • Canva
  • Reserve meu programa
  • Whatsapp
  • Snapchat
  • Livro KhataBook
  • Telegram
  • Zomato
  • Negócios do Whatsapp
  • Strava
  • LinkedIn
  • Highway Drive
  • BlinkIt
  • Pagamento futuro - BigBazaar agora de propriedade da Reliance
  • Adani One
  • Clash of Clans, Clash Royal (Supercell)
  • Discórdia
  • Booking.com

O experimento

Para validar o processo mencionado anteriormente para aquisição de contas por meio de cookies de sessão invalidados, os pesquisadores da CloudSEK conduziram um experimento usando dois dispositivos Realme. Depois que os dados foram transferidos do dispositivo da vítima para o dispositivo do atacante, os dois aplicativos (Whatsapp e Whatsapp Business) ficaram acessíveis nos dois dispositivos por meio da mesma conta. (Para prova de conceito, consulte o Referências seção)

Captura de tela mostrando a acessibilidade da conta do WhatsApp da vítima em ambos os dispositivos

Embora a vítima tenha ativado o WhatsApp 2FA, ela não foi solicitada no novo dispositivo (do atacante) e agora os dois dispositivos podiam enviar mensagens pela mesma conta. No entanto, as respostas do usuário do outro lado só serão recebidas no dispositivo que enviou a última mensagem. A única maneira de identificar se os dados do seu aplicativo foram copiados para outro dispositivo e se outra pessoa está enviando mensagens em seu nome é usando o Whatsapp Web. Quando um novo dispositivo é vinculado após a transferência, as mensagens de ambos os dispositivos são carregadas no sistema WhatsApp Web. Um usuário pode verificar se há alguma conversa irregular feita em sua conta. Para contornar essa verificação, um agente de ameaças pode simplesmente excluir as conversas.

Os pesquisadores tentaram replicar o mesmo método com o Instagram, considerando que ambos são de propriedade e operados pela Meta, mas o Instagram desconectou todas as contas e solicitou um novo login.

Nota - Essa vulnerabilidade foi relatada à Meta Security, eles consideraram que era um cenário de engenharia social, desconsiderando-a como um problema de segurança.

Impacto

Os registros do Stealer são frequentemente usados pelos cibercriminosos para roubar credenciais de login e outros dados confidenciais. Depois que o malware é instalado no sistema da vítima, ele coleta silenciosamente registros sobre as atividades do usuário e os envia de volta ao servidor do atacante. Essas informações podem ser usadas para obter acesso às contas da vítima.

Os agentes de ameaças também foram notados por usarem navegadores anônimos que permitem que eles usem cookies roubados e se façam passar pelo GPS e pela localização da rede do usuário, juntamente com os IDs dos dispositivos.

  • Acesso não autorizado: os invasores podem usar essas sessões sequestradas para obter acesso não autorizado a contas de usuário, dados confidenciais e informações pessoais.
  • Perda financeira: os atacantes podem usar essas sessões sequestradas para realizar transações não autorizadas, causando perdas financeiras para a vítima.
  • Danos à reputação: o sequestro da sessão pode prejudicar a reputação da vítima, pois os agentes da ameaça podem enviar mensagens inapropriadas aos contatos da vítima.

Medidas de mitigação e melhores práticas

  • Ative recursos como autenticação de dois fatores para adicionar uma camada extra de proteção às suas contas.
  • Monitorar regularmente seu dispositivo em busca de atividades incomuns pode ajudar a detectar qualquer ameaça potencial à segurança desde o início.
  • É sempre uma boa ideia manter seus dispositivos bloqueados quando você não os estiver usando, seja usando uma senha, impressão digital ou reconhecimento facial.
  • Você também deve evitar deixar seus dispositivos sem supervisão em locais públicos onde possam ser acessados por outras pessoas.

Conclusão

O cenário acima, muito parecido com os retratados em filmes, é um exemplo alarmante de uma técnica de roubo de dados em que um agente de ameaças se aproveita de indivíduos que não protegem seus dispositivos com senhas. Em alguns casos, um indivíduo pode entregar seu telefone a um executivo em um restaurante ou shopping, que solicita que ele baixe um aplicativo para receber recompensas gratuitas. O executivo então aproveita essa oportunidade para escanear um código QR e transferir dados do dispositivo da vítima para o seu próprio. Esses dados podem incluir informações confidenciais, como credenciais financeiras, permitindo que o agente da ameaça tenha acesso às carteiras digitais da vítima e transfira fundos. Além disso, o atacante pode revisar o histórico de mensagens do WhatsApp da vítima, usando as informações para chantageá-la ou solicitar dinheiro de seus contatos.

Para mitigar essa ameaça, é essencial proteger seu telefone com uma senha. Se você não conseguir baixar um aplicativo sozinho, evite entregar seu dispositivo a outra pessoa para baixá-lo em seu nome. É importante analisar cuidadosamente as permissões exigidas por um aplicativo antes de conceder acesso a ele e revogar as permissões quando a tarefa for concluída. Embora possa parecer difícil, é fundamental tomar essas medidas para se proteger contra a perda de economias devido a esses golpes.

Referências

Mudit Bansal
Cyber Threat Intelligence Researcher at CloudSEK, specializing in threat landscape analysis and vulnerability identification, with a strong focus on cybersecurity research and training.
Rishika Desai
Cyber Threat Researcher @ CloudSEK
Darshit Ashara
As the Associate Vice President of the Threat Intelligence Research team, Darshit directs the team's efforts to create and disseminate strategic and threat-focused cyber intelligence. Prior to joining CloudSEK, he was a Senior Cyber Threat Intelligence Researcher at Intel471.
Hansika Saxena
Product Manager at CloudSEK with a background in cyber threat intelligence and a focus on user experience. She bridges research with product design to shape solutions that are intuitive and impactful.

Blogs relacionados

Este é um texto dentro de um bloco div.
Vulnerability Intelligence
July 4, 2025
3
min
Vulnerabilidade do Cisco Unified Communications Manager CVSS 10: mais de mil ativos expostos à Internet
Leia mais
Este é um texto dentro de um bloco div.
Vulnerability Intelligence
May 30, 2025
4
min
Mais de 50.000 usuários do Azure AD expostos por meio de API insegura: BeVigil descobre uma falha crítica
Leia mais
Este é um texto dentro de um bloco div.
Vulnerability Intelligence
May 23, 2025
5
min
Exposto e explorável: como uma falha de LFI deixou os arquivos do servidor de um gigante de viagens abertos para hackers
Leia mais