Especialistas da empresa Zimperium zLabs descobriram na última semana aquela que consideram a "mãe de todas as vulnerabilidades do Android" – ou simplesmentes as "piores brechas descobertas até hoje". Apelidado de Stagefright, o conjunto de falhas graves afeta 95% dos aparelhos (ou cerca de 950 milhões deles) que rodam o sistema do Google, deixando-os vulneráveis a ataques por meio de mensagens multimídia (MMS).

As invasões dão a criminosos – que só precisam saber o número do telefone para atacar – controle quase total de smartphones e tablets, e não exigem nenhuma ação por parte do usuário. De acordo com uma matéria da emissora norte-americana National Public Radio (NPR), basta que o dispositivo receba um vídeo malicioso por MMS para que o sistema seja comprometido, dando aos invasores acesso e controle total sobre dados, microfone e câmera do aparelho móvel. Apenas as versões do sistema anteriores à 2.2 não são afetadas.

Os problemas de segurança estão na ferramenta de reprodução de mídia Stagefright, nativa do Android e responsável por fornecer os codecs que tornam o sistema compatível com diferentes formatos de áudio e vídeo. Os vídeos “contaminados” com malware utilizam o recurso como uma "porta de entrada", e a partir dela podem até escalar privilégios e acessar mais recursos e informações dentro de um smartphone.

Joshua Drake, um dos pesquisadores da Zimperium, explicou à reportagem da Forbes que o app Hangouts é o que oferece mais riscos, já que baixa o conteúdo multimídia de mensagens MMS automaticamente. Assim, o processo malicioso é executado assim que a mensagem chega, de forma que a vítima acaba nem vendo o que a atingiu. Mas o aplicativo Mensagens não é muito melhor: apesar de não fazer o download dos materiais sozinho, basta que a pessoa visualize o MMS para que o malware comece a rodar.

Tem solução? – Os especialistas da Zimperium falarão mais sobre as brechas da ferramenta Stagefright no começo de agosto, durante as conferências de segurança BlackHat e Defcon, e por isso mesmo deixaram o Google avisado sobre a existência dos problemas com antecedência. Pelo menos sete falhas relatadas por Drake foram corrigidas pela empresa entre abril e maio. Aparelhos da linha Nexus receberam algumas das correções, mas ainda restam alguns buracos, conforme explicou o pesquisador à Forbes.

O problema maior, porém, são as outras fabricantes de smartphones e tablets, que não costumam ser tão rápidas quanto o Google na hora de entregar updates de segurança. Sendo otimista, o próprio Drake estimou, em entrevista à NPR, que no máximo 50% dos aparelhos com Android receberão os patches necessários. Das empresas que fazem celulares, apenas a Silent Circle – do super-seguro Blackphone – liberou correções até agora, embora outras tenham sido notificadas, segundo a reportagem da rádio.

* Via Forbes e NPR