Em julho, um pesquisador de segurança revelou que os dispositivos Android estavam vulneráveis devido a um bug que ficou conhecido como Stagefright. Agora, o mesmo pesquisador disse que descobriu dois novos bugs parecidos com este.
As novas falhas permitem que hackers invadam o smartphone dos usuários por meio do link para um falso website que contém um arquivo multimídia malicioso no formato mp3 ou mp4. Estes dois novos bugs da família Stagefright também foram encontrados no motor de reprodução de mídia do Android, assim como na primeira série de erros divulgada no final de julho.
O responsável pelas descobertas foi Joshua Drake, pesquisador da Zimperium zLabs e autor do Android’s Hacker Handbook (Manual Hacker para Android, em tradução livre). De acordo com ele, a vulnerabilidade afeta “quase todos os dispositivos Android” desde a primeira versão do sistema operacional, lançado em 2008. A segunda vulnerabilidade permite que hackers acionem o gatilho mesmo na versão mais recente do Android, como a 5.0 e superior.
Para explorar as vulnerabilidades, um hacker pode enganar uma vítima em potencial para abrir um site onde ele plantou um arquivo de áudio ou vídeo malicioso, ou até mesmo fazendo-a abrir um aplicativo de terceiros, como um player multimídia, que depende de bibliotecas não oficiais e vulneráveis do Android. A simples ação de visualizar a música ou vídeo pode desencadear o problema.
Pesquisadores da Zimperium zLabs estimam que pelo menos 950 milhões de usuários do Android estão vulneráveis a estes bugs. Já Zuk Avraham, o fundador e diretor-chefe de tecnologia da companhia, acredita que este número pode chegar a 1,4 bilhão de pessoas. “Eu não posso dizer que todos os telefones estão vulneráveis, mas a maioria deles está”, disse Avraham.
Um porta-voz do Google disse que um patch para estas novas vulnerabilidades será lançado para usuários de smartphones Nexus no dia 5 de outubro. A empresa também compartilhou um patch específico com parceiros no dia 10 de setembro e está trabalhando com fabricantes de dispositivos Android e operadoras para “entregar atualizações o mais rapidamente possível”.
Com informações de Motherboard e Canaltech.