Na noite passada pesquisadores da empresa Zimperium Mobile Security anunciaram uma nova vulnerabilidade no Android que tem como alvo as mensagens multimídia do sistema.
Apelidada de “Stagefright”, a vulnerabilidade afeta cerca de 950 milhões de dispositivos Android em todo o mundo, de acordo com estimativas da empresa, embora os dispositivos mais vulneráveis sejam os que executam versões pré-Jelly Bean do Android.
Mesmo o pequeno número de pessoas que utilizam a linha de telefones Android do Google, a Nexus, são vulneráveis aos efeitos do bug, de acordo com Joshua Drake, o pesquisador que descobriu a falha.
Hackers podem criar pequenos vídeos, esconder o malware no seu interior e mandá-los para o seu número. Assim que ele é recebido pelo telefone, Drake disse, “ele faz o seu processamento inicial, o que desencadeia a vulnerabilidade.”
Isso significa que o alvo não precisa abrir um anexo ou baixar um arquivo corrompido: Por exemplo, com o Hangouts do Google, o aplicativo automaticamente faz o pré-processamento de vídeos assim que eles são recebidos, por isso, se o vídeo for enviado como uma mensagem MMS, o malware pode tomar controle do telefone imediatamente.
“Isso acontece até mesmo antes do alerta de receber mensagem chegar”, diz Drake. “Isso é o que o torna tão perigoso. [Ele] poderia ser absolutamente silencioso. Você pode até não ver nada.”
Chris Wysopal, o oficial de segurança da empresa Veracode, chegou até a chamar a falha de “Heartbleed para smartphones”.
Drake revelou detalhes do bug para o Google em abril, e desde então ofereceu à empresa patches. Ele negociou um atraso de 90 dias para postar sobre a falha, dando à empresa um bom tempo para enviar uma correção para seus usuários.
Em um comunicado, o Google disse: “Esta vulnerabilidade foi identificada em um ambiente de laboratório em dispositivos Android mais velhos, e, tanto quanto sabemos, ninguém foi afetado.”