Aparelhos Android são vulneráveis a hacking via mensagens multimídia

Uma pesquisa de segurança identificou que a grande maioria dos aparelhos Android pode ser facilmente hackeada ao receber mensagens com conteúdo de mídia (MMS).

A invasão, que requer apenas o conhecimento do número de telefone da vítima, foi descoberta pelo vice-presidente da empresa de pesquisa e segurança móvel Zimperium, Joshua Drake. 

No caso, Drake encontrou diferentes vulnerabilidades no coração do Android, um componente chamado Stagefright que é usado para processar, rodar e gravar arquivos multimídia. Algumas das falhas permitem executar códigos de forma remota e podem ser desencadeadas quando um usuário receber uma mensagem MMS, realizar o download de um arquivo especialmente criado ou abrir uma página Web com conteúdo multimídia incorporado.

Segundo a pesquisa, há uma série de vetores em potencial que podem realizar tais ataques.

Arquivos vulneráveis

A biblioteca do dispositivo não é somente usada para rodar conteúdo de mídia, mas também para gerar thumbnails de forma automática ou para extrair metadados de arquivos de vídeo e áudio, que incluem velocidade, peso, taxa de frame e outras informações similares. 

Isso significa que usuários não precisam necessariamente executar arquivos maliciosos para estarem vulneráveis. A simples cópia de tais arquivos já seria o suficiente.

O pesquisador não está certo de quantas aplicações utilizam o Stagefright, mas acredita que qualquer aplicativo que administra arquivos de mídia em Android utiliza o componente de uma forma ou de outra. 

O ataque utilizando MMS é o mais alarmante de todos, uma vez que não requer nenhuma interação do usuário. Neste caso, o telefone só precisa receber a mensagem maliciosa. 

Invasor via MMS

Por exemplo, o invasor poderia enviar uma MMS infectada quando a vítima estiver dormindo e o telefone estiver no modo silencioso, explicou Drake. Depois da intrusão, a mensagem pode ser apagada e a vítima não saberá que o telefone foi hackeado.

O pesquisador não apenas encontrou tais vulnerabilidades, mas criou também os patches (uma forma de reparos ao software) necessários e os compartilhou com o Google no último mês de maio. A companhia levou as questões a sério e aplicou tais medidas de segurança em seu código interno do Android em 48 horas. 

O código é compartilhado com antecedência com os fabricantes de aparelhos que estão no programa de parceria Android, antes de serem lançado ao público como parte do Projeto Open Source do Android (AOSP).

Infelizmente, devido ao ritmo lento das atualizações do sistema operacional, mais de 95% dos dispositivos Android ainda podem ser afetados, Drake estima.

Até mesmo entre os aparelhos Nexus que, de forma geral, recebem tais atualizações de forma mais rápida de seus fabricantes. Segundo Drake, apenas o Nexus 6 recebeu alguns desses reparos. 

No Android, tais patches podem levar meses para atingir usuários finais por meio de atualizações na nuvem. Isso porque fabricantes precisam primeiro extrair o código do Google em seus repositórios, criar novas versões de firmware para seus próprios aparelhos, testá-los e depois atuar com operadoras móveis para distribuir atualizações. 

Vale destacar que dispositivos que tenham mais de 18 meses geralmente param de receber atualizações de forma integral, deixando-os vulneráveis a problemas recém-descobertos por tempo indeterminado.

As vulnerabilidades encontradas pelo pesquisador podem afetar aparelhos que rodam versões 2.2 ou superiores, o que significa que há um enorme número de aparelhos que, provavelmente, nunca receberá os patches.

Em um comunicado oficial, o Google agradeceu o pesquisador pela sua contribuição e confirmou que tais patches foram encaminhados a parceiros. 

“A maioria dos aparelhos Android, incluindo os novos, contam com várias tecnologias que foram projetadas para tornarem invasões mais difíceis”, informou a gigante de tecnologia. “Android também inclui uma aplicação feita para proteger os dados de usuários e outras aplicações no aparelho”.

O que invasores podem fazer depois de explorar as vulnerabilidades encontradas pelo pesquisador variam de cada dispositivo. O código malicioso, por exemplo, pode ser executado com privilégios do framework do Stagefright. De forma geral, invasores terão acesso ao microfone, câmera e armazenamento externo, mas não terão capacidade de instalar aplicações ou ainda acessar dados internos. 

Desde que os patches para tais falhas não se encontram ainda no AOSP, fabricantes de aparelhos que não são parceiras do Google não têm acesso a eles. O pesquisador também compartilhou tais "remendas" com outras companhias que podem ser afetadas, como o Mozilla. 

O Mozilla Firefox para Android, Windows e Mac, assim como Firefox OS estavam suscetíveis às falhas porque utilizavam uma versão bifurcada do Stagefright. O Mozilla concertou o problema no Firefox 38, lançado em maio