Há cerca de 30 programas de antivírus expostos a vulnerabilidades que podem levar a falhas no PC

27 abr 2020 12:18

Este artigo tem mais de 3 anos

"Symlink race" é o nome da vulnerabilidade detetada pela RACK911 Labs, que permite eliminar arquivos usados pelo antivírus ou pelo sistema operativo. A empresa já garantiu que a maior parte dos produtos já foram corrigidos, mas existem "exceções infelizes".

Os programas de antivírus são feitos para prevenir, identificar e eliminar possíveis "ataques", mas nem todos podem ser totalmente eficazes. Investigadores da empresa de cibersegurança americana RACK911 Labs identificaram vulnerabilidades em 28 dos "mais populares produtos de antivírus de hoje em dia", incluindo o Microsoft Defender, o McAfee Endpoint Security e o Malwarebytes.

De acordo com a notícia avançada pela ZDNet, os especialistas detetaram vulnerabilidades que permitem aos hackers eliminar arquivos usados pelo antivírus ou pelo sistema operativo (SO). Como consequências, este ataque pode levar a falhas do computador ou até mesmo à sua inoperabilidade.

Em entrevista ao site, Vesselin Bontchev, membro do Laboratório Nacional de Vírus em Computadores da Academia de Ciências da Bulgária, explica que esta vulnerabilidade é conhecida por "symlink race". Na prática, decorre quando um arquivo malicioso é vinculado a um legítimo e acaba por executar um malware no ficheiro original. De acordo com Vesselin Bontchev "é um problema muito real e antigo com sistemas operativos que permitem processos simultâneos". "Muitos programas sofreram com isso no passado", explicou.

No relatório, os especialistas garantem ter identificado 28 produtos com esta vulnerabilidade, no Windows, MacOS e Linux.

De acordo com a equipa, os programas de antivírus são particularmente vulneráveis a este tipo de ataques, devido à forma como funcionam. Porquê? Existe um intervalo de tempo, desde quando os arquivos são colocados e considerados maliciosos, até o antivírus intervir para remover a ameaça.

Citados pela ZDNet, os investigadores garantem que a maior parte das empresas corrigiu esta falha, "com algumas exceções infelizes". Ainda assim, a equipa do RACK911 Labs não divulgou os nomes das empresas que não o fizeram.

Ainda a semana passada, a ZDNet dava conta de um ataque à loja portuguesa Aptoide, cujos dados de 20 milhões de utilizadores foram partilhados num "fórum de hackers muito conhecido", expondo informações como moradas ou datas de nascimento. Entretanto, a empresa já veio tentar assegurar que está a "trabalhar para resolver o problema" e anunciou a 21 de abril o lançamento de um novo sistema de autenticação para a sua loja de aplicações Android.