COMPARTILHAR

androidSeis vulnerabilidades graves no sistema operacional Android, usado em celulares e tablets, podem permitir que o aparelho seja hackeado com uma mensagem multimídia acompanhada de um arquivo de vídeo. Dependendo do aplicativo de mensagens multimídia (MMS) configurado, a mensagem nem precisa ser aberta – o telefone é hackeado na hora em que ela é recebida, ou simplesmente ao abrir o app. O alerta é do pesquisador de segurança Joshua Drake, da Zimperium zLabs.

 

 

O pesquisador comunicou os problemas ao Google em abril e maio. As brechas foram corrigidas, mas o remendo não chegou para todo mundo: o repasse depende de cada fabricante e, às vezes, também das operadoras. Para piorar, a falha é bem antiga: a brecha existe em qualquer celular com Android mais novo que 2.2, de 2010 – muitos telefones mais antigos não recebem mais nenhuma atualização. Drake estima que 950 milhões de aparelhos estão vulneráveis.

 

 

Os problemas estão no Stagefright, um componente do Android usado para a reprodução de vídeo. Como o problema está no próprio Android, não depende de um app específico. Qualquer programa que utiliza o sistema de reprodução de vídeos interno do Android estará vulnerável. Por esse motivo, o meio mais fácil de explorar a falha é com o envio de um vídeo diretamente ao aparelho, por meio de uma mensagem.

 

 

O aplicativo configurado para abrir a mensagem, porém, influencia o resultado do ataque. Na maioria dos aparelhos, o ataque precisa ser combinado com outra vulnerabilidade para conseguir o acesso total (“root”) ao sistema e o app precisa ser aberto ou a mensagem visualizada para concretizar a invasão. Mas, em alguns celulares, o aplicativo de mensagens configurado de fábrica já é executado com permissão total, deixando o sistema mais vulnerável.

 

 

Se o ataque tiver sucesso, o invasor poderá instalar um aplicativo no sistema, extraindo informações e enviando comandos ao aparelho.

 

Não se sabe exatamente quais telefones já receberam atualizações de seus fabricantes. De acordo com o pesquisador, o próprio Nexus – cujo sistema é mantido pelo Google – segue parcialmente vulnerável, porque nem todas as vulnerabilidades relatadas por ele foram corrigidas.

 

 

Drake dará mais detalhes sobre as falhas na semana que vem, durante a conferência de segurança Black Hat, em Las Vegas, nos Estados Unidos. O evento, um dos mais tradicionais da área de segurança, ocorre este ano entre os dias 1º e 6 de agosto.

COMPARTILHAR
Matéria enviada ao Portal Notícias de Itaúna. As matérias enviadas e publicadas no Portal Notícias de Itaúna não refletem necessariamente a opinião do nosso Portal de Informações e são de inteira responsabilidade das pessoas que as assinam.