Exame Logo

Especialistas descobrem a "mãe de todas as vulnerabilidades no Android"

Brechas na ferramenta de reprodução de mídia Stagefright deixam invasores tomarem o controle do smartphone com uma mensagem MMS

android ( JD Hancock / Reign Of The Android / Flickr via Photo.com)
DR

Da Redação

Publicado em 27 de julho de 2015 às 10h53.

Especialistas da empresa Zimperium zLabs descobriram na última semana aquela que consideram a "mãe de todas as vulnerabilidades do Android" – ou simplesmentes as "piores brechas descobertas até hoje". Apelidado de Stagefright, o conjunto de falhas graves afeta 95% dos aparelhos (ou cerca de 950 milhões deles) que rodam o sistema do Google , deixando-os vulneráveis a ataques por meio de mensagens multimídia (MMS).

As invasões dão a criminosos – que só precisam saber o número do telefone para atacar – controle quase total de smartphones e tablets, e não exigem nenhuma ação por parte do usuário. De acordo com uma matéria da emissora norte-americana National Public Radio (NPR), basta que o dispositivo receba um vídeo malicioso por MMS para que o sistema seja comprometido, dando aos invasores acesso e controle total sobre dados, microfone e câmera do aparelho móvel. Apenas as versões do sistema anteriores à 2.2 não são afetadas.

Veja também

Os problemas de segurança estão na ferramenta de reprodução de mídia Stagefright, nativa do Android e responsável por fornecer os codecs que tornam o sistema compatível com diferentes formatos de áudio e vídeo. Os vídeos “contaminados” com malware utilizam o recurso como uma "porta de entrada", e a partir dela podem até escalar privilégios e acessar mais recursos e informações dentro de um smartphone.

Joshua Drake, um dos pesquisadores da Zimperium, explicou à reportagem da Forbes que o app Hangouts é o que oferece mais riscos, já que baixa o conteúdo multimídia de mensagens MMS automaticamente. Assim, o processo malicioso é executado assim que a mensagem chega, de forma que a vítima acaba nem vendo o que a atingiu. Mas o aplicativo Mensagens não é muito melhor: apesar de não fazer o download dos materiais sozinho, basta que a pessoa visualize o MMS para que o malware comece a rodar.

Tem solução? – Os especialistas da Zimperium falarão mais sobre as brechas da ferramenta Stagefright no começo de agosto, durante as conferências de segurança BlackHat e Defcon, e por isso mesmo deixaram o Google avisado sobre a existência dos problemas com antecedência. Pelo menos sete falhas relatadas por Drake foram corrigidas pela empresa entre abril e maio. Aparelhos da linha Nexus receberam algumas das correções, mas ainda restam alguns buracos, conforme explicou o pesquisador à Forbes.

O problema maior, porém, são as outras fabricantes de smartphones e tablets, que não costumam ser tão rápidas quanto o Google na hora de entregar updates de segurança. Sendo otimista, o próprio Drake estimou, em entrevista à NPR, que no máximo 50% dos aparelhos com Android receberão os patches necessários. Das empresas que fazem celulares, apenas a Silent Circle – do super-seguro Blackphone – liberou correções até agora, embora outras tenham sido notificadas, segundo a reportagem da rádio.

* ViaForbeseNPR

Acompanhe tudo sobre:AndroidEmpresasEmpresas americanasEmpresas de internetempresas-de-tecnologiaGoogleHackersINFOTecnologia da informação

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Tecnologia

Mais na Exame