O Google começará a liberar nesta quarta-feira (5) patches que devem corrigir as brechas da vulnerabilidade Stagefright, a "mãe de todas as vulnerabilidades do Android" descoberta no mês passado por especialistas da empresa de segurança Zimperium. As falhas atingem 95% dos aparelhos que rodam Android, e permite que invasores tomem o controle de um dispositivo com uma mensagem MMS.

A notícia foi dada pelo engenheiro-chefe de segurança do sistema operacional, Adrian Ludwig, em apresentação realizada nesta quarta na conferência Blackhat. Segundo o executivo, as correções chegarão primeiro aos modelos de smartphones e tablets da linha Nexus, mas já foram enviadas às fabricantes parceiras e serão disponibilizadas em código aberto.

Dessa forma, dispositivos Android mais populares deverão receber o update ainda neste mês de agosto. Em comunicado, o Google incluiu na lista alguns aparelhos feitos pela Samsung, pela HTC, pela LG e pela Sony, mas é de se imaginar que os Motorolas e modelos de outras marcas também recebam a atualização em breve

Na apresentação, Ludwig ressaltou que, apesar da existência da falha, 90% dos aparelhos com Android contam com um recurso que os protege de ataques pela brecha. O chamado ALSR (sigla para Address space layout randomization) previne os transbordamentos de dados (ou buffer overflows, no termo original), como os que acontecem quando o Hangouts ou o app Mensagens recebem um vídeo “contaminado”.

O engenheiro do Google também recomendou que os usuários trocassem seu aplicativo padrão pelo Messenger, compatível com Androids a partir do JellyBean. Em sua próxima versão, o programa terá a opção de não baixar e rodar automaticamente os arquivos de mídia recebidos. Assim, caso a mensagem seja suspeita, o usuário pode simplesmente apagá-la.

Mudanças nos updates – Por fim, além de falar do Stagefright, Ludwig revelou que aparelhos da linha Nexus (Nexus 4, 5, 6, 7, 9, 10 e Player) passarão a receber atualizações mensais de segurança, quase como faz a Microsoft semanalmente com sua Patch Tuesday para o Windows. O primeiro pacote de correções será liberado ainda nesta quarta-feira, e o Google não será a única marca a aderir a essa distribuição mensal: a Samsung também confirmou que fará o mesmo – um sinal de que a vulnerabilidade até que fez bem às fabricantes.