Início » Antivírus e Segurança » Falha no Android afeta 950 milhões de aparelhos e permite execução de código malicioso

Falha no Android afeta 950 milhões de aparelhos e permite execução de código malicioso

Arquivos, câmera, microfone e todo o resto do smartphone podem ser explorados por um MMS

Jean Prado Por

Uma falha no Android divulgada pela Zimperium nesta segunda-feira (27) permite que hackers acessem o dispositivo só com uma mensagem de multimídia (MMS). Semelhante à falha no iOS, essa vulnerabilidade no Android se aproveita do download automático de mídia no Hangouts, afetando em torno de 950 milhões de dispositivos.

Mas calma, você não está (tão) inseguro assim. De certa forma, a falha, batizada de Stagefright, precisa de algumas condições específicas para acontecer. Primeiro, um hacker deve enviar para um Android um vídeo com um malware via MMS e o usuário deve receber a mensagem pelo Hangouts.

android-falha-sms

A partir daí, como o Hangouts baixa as mídias que você recebe antes mesmo de você visualizar a mensagem, o vídeo malicioso já estará no seu armazenamento interno e dará acesso aos seus arquivos, câmera, microfone e todo o resto do seu telefone. Não deixa de ser uma falha muito séria, já que o usuário não precisa clicar em um link para a vulnerabilidade ser explorada, por exemplo.

Joshua Drake, vice-presidente de pesquisas em plataforma e exploração na Zimperium, afirma que até o aplicativo de SMS padrão no Android pode ser explorado. Ele, ao contrário do Hangouts, só salva a mídia quando o usuário clica na mensagem, mas continua não sendo necessário executar o vídeo.

Dentre os 950 milhões de dispositivos afetados está a maioria dos Androids com versão 2.2 ou superior. Até a versão 4.3 Jelly Bean a falha é mais grave, já que é difícil que dispositivos abaixo dessa versão sejam atualizados futuramente. O Nexus 6 não tem esse problema de demora nas atualizações, mas ainda assim continua parcialmente vulnerável (algumas falhas foram corrigidas e outras não), enquanto o Nexus 5 ainda está totalmente inseguro.

Android 5.0 Lollipop

Quem está vulnerável levanta a mão.

Apesar de tudo, Joshua não acredita que haja hackers explorando a falha (ainda). Ele chegou a reportar a vulnerabilidade para o Google em abril, enviando inclusive instruções de como consertá-la. O Google aceitou suas correções, mas ainda há aquele processo demorado de atualização das diversas versões do sistema, modificado pelas fabricantes (que já foram notificadas).

Diferentemente da última falha no iOS, essa vulnerabilidade no Android não pode ser explorada por qualquer um, bastando apenas enviar um SMS; é necessário um conhecimento mais avançado. Por outro lado, como só produtos da Apple rodam iOS, é mais fácil para a fabricante lançar uma atualização rápida que corrija a falha ― e do mesmo jeito demorou 1 mês. Não é assim com as milhares de modificações de fabricantes no sistema do Google.

No caso do Android, o usuário precisa, acima de tudo, parar de usar o Hangouts como cliente de mensagens de texto e multimídia ― a partir do Nexus 5, ele vem como padrão, enquanto nos outros Androids (até da Motorola), o padrão continua sendo o Mensagens. Se você quiser se prevenir, eu recomendo desativar o download automático de MMS no Mensagens ou Messenger, outro app de mensagens de texto do Google.

Com informações: Ars Technica e NPR.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Baphomet
Nos EUA usam bastante, assim como SMS
Tiago Coimbra de Araújo
Já virou rotina descobrir falhas no android, Aaffffff... To super feliz com meu blackberry 10 :D
Wellington Gabriel de Borba
Em tempo de WhatsApp, alguém ainda usa MMS, diga-se de passagem? E como bem pontuou, aqui isso custou tão caro que o MMS nunca decolou.
Higo
Acho q o primeiro passo é desligar o download automático por padrão no hangouts, ainda que através de um patch. Isso já resolveria de maneira simples 95% do problema. Os 5% restantes são bem complicados, graças a fragmentação do nosso maravilhoso Android e as dificuldades de se lançar um patch de atualização para o SO.
Daniel Drumond
Então, a falha não é do hangouts, é do sistema mesmo. O problema no hangouts é que ele baixa MMS automaticamente, mas mesmo se o usuário usar outro cliente de mensagens, porém baixar a mensagem manualmente, ele estará vulnerável.
Tuk

Vi num site que a Google já enviou um patch pras fabricantes.

Ryderr3
Vi num site que a Google já enviou um patch pras fabricantes.
Silvio Chagas

Não sei se é impressão, mas o autor tenta minimizar a falha, mas o fato é de que a falha é muito grave, pois basta apenas o número de telefone da vítima para envio do MMS e praticamente todas as versões do Android são afetadas, pior, possivelmente continuarão, pois dificilmente os fabricantes irão atualizar dispositivos antigos;

Comparar a falha no iOS é um pouco forçado, pois ela somente fazia o iPhone reiniciar e não controle remoto total sobre o mesmo;

No mais, se a falha foi reportada em abril, então estou esperando até o fim do mês a divulgação da mesma por parte do Google, ou só vale para a Microsoft e demais concorrentes?

Por fim, no Brasil acho estamos livre, pois o serviço de MMS é DESATIVADO por padrão e, quando ativo, a maioria das operadoras envia um SMS com um link para visualização do conteúdo da mensagem no navegador, mesmo com Hangouts.

silvioricardo
Não sei se é impressão, mas o autor tenta minimizar a falha, mas o fato é de que a falha é muito grave, pois basta apenas o número de telefone da vítima para envio do MMS e praticamente todas as versões do Android são afetadas, pior, possivelmente continuarão, pois dificilmente os fabricantes irão atualizar dispositivos antigos; Comparar a falha no iOS é um pouco forçado, pois ela somente fazia o iPhone reiniciar e não controle remoto total sobre o mesmo; No mais, se a falha foi reportada em abril, então estou esperando até o fim do mês a divulgação da mesma por parte do Google, ou só vale para a Microsoft e demais concorrentes? Por fim, no Brasil acho estamos livre, pois o serviço de MMS é DESATIVADO por padrão e, quando ativo, a maioria das operadoras envia um SMS com um link para visualização do conteúdo da mensagem no navegador, mesmo com Hangouts.
SR 71 Pássaro Preto

Tb acho ainda bem q nunca usei aquilo.

Anthony Fernando
Tb acho ainda bem q nunca usei aquilo.
Diego F. Duarte
Olha só! Que desculpa PERFEITA pra Google descontinuar o app de SMSs e mandar todo mundo pra JOSTA do Hangouts pra receber uma mera SMS. Que lindo!
João Silverado
Tenta fabricar um vírus pra WP e ios sem usar jailbreak, quero ver se consegue.
Jairo ☠️

A google pode até liberar um patch de segurança , o problema são as OEMs liberarem está atualização ..

jairo
A google pode até liberar um patch de segurança , o problema são as OEMs liberarem está atualização ..
Exibir mais comentários