Uma versão mais antiga do aplicativo Android Shein sofreu de um bug que capturava e transmitia periodicamente o conteúdo da área de transferência para um servidor remoto.
A equipe de pesquisa do Microsoft 365 Defender disse que descobriu o problema na versão 7.9.2 do aplicativo lançado em 16 de dezembro de 2021. O problema já foi resolvido em maio de 2022.
Shein, originalmente chamada de ZZKKO, é uma varejista chinesa de moda rápida online com sede em Cingapura. O app, que atualmente está na versão 9.0.0, conta com mais de 100 milhões de downloads na Google Play Store.
A gigante da tecnologia disse que não está “especificamente ciente de qualquer intenção maliciosa por trás do comportamento”, mas observou que a função não é necessária para executar tarefas no aplicativo.
Ele apontou ainda que iniciar o aplicativo após copiar qualquer conteúdo para a área de transferência do dispositivo acionou automaticamente uma solicitação HTTP POST contendo os dados para o servidor “api-service[.]shein[.]com”.
Para mitigar esses riscos de privacidade, o Google fez melhorias adicionais no Android nos últimos anos, incluindo exibir mensagens do sistema quando um aplicativo acessa a área de transferência e impedir que os aplicativos obtenham os dados, a menos que estejam sendo executados ativamente em primeiro plano.
“Considerando que os usuários móveis costumam usar a área de transferência para copiar e colar informações confidenciais, como senhas ou informações de pagamento, o conteúdo da área de transferência pode ser um alvo atraente para ataques cibernéticos”, disseram os pesquisadores Dimitrios Valsamaras e Michael Peck.
“Aproveitar as pranchetas pode permitir que os invasores coletem informações do alvo e extraiam dados úteis”.
Fonte: TheHackerNews, Ravie Lakshmanan