2015/10/02

Bug Stagefright continua a permitir o ataque a praticamente todos os Android


O bug Stagefright parece estar a ser mais difícil de erradicar do que se pensava, e continua a deixar vulneráveis praticamente todos os smartphones Android alguma vez produzidos, incluindo os que correm as versões mais recentes do sistema.

Este bug, que começou por permitir infectar Android com um simples MMS (e até levou à criação de um grupo de segurança, e a promessa de patches mensais para corrigir vulnerabilidades) continua afinal a resistir às correcções efectuadas, deixando que um Android continue a ficar infectado ao tocar um simples MP3 ou MP4. Algo que pode ser feito de forma bastante simples, incentivando o utilizador a iniciar essa reprodução, ou até injectando esse conteúdo directamente, no caso de estar a usar uma ligação não encriptada.

Tal como anteriormente, esta caso complica-se por se saber que haverá muitas centenas de milhões de dispositivos que nunca irão receber qualquer actualização, fazendo com que esta falha se torne extremamente atractiva para grupos que desejem explorar esse vasto manancial de "vítimas". E não me parece que seja difícil que, num prazo relativamente curto, o Google tenha que enfrentar um incidente tipo o Sasser worm do Windows, em que bastava ligar um Windows à internet para que num prazo de segundos ou poucos minutos, se ser confrontado com uma janela a dizer que o sistema ia fazer shutdown. Só que, ao contrário do Windows, o Google não tem verdadeiro controlo sobre as actualizações (ou falta delas) que a grande maioria dos fabricantes de equipamentos com Android disponibiliza para os seus produtos - embora também se tenha que reconhecer que o Google tem feito todos os possíveis por ir rectificando problemas mesmo nesses equipamentos, através dos serviços Google Play, que pode actualizar directamente através da sua Play Store.

Seja como for... há que estar atento, e consciente de que mesmo um Android com as últimas actualizações do Google poderá estar vulnerável a algo tão simples como um MP3.

3 comentários:

  1. Como é que isto é possível?
    Mais...
    Como é que passam 7 anos e só se descobre isto agora? A Google não pensou nisto?
    Opa eu sinceramente não entendo nada de nada sobre o que isto envolve mas damn fico parvo

    ResponderEliminar
    Respostas
    1. Projectos como este recorrem sempre a "centenas" de coisas já existentes. Neste caso, a falha é num componente responsável pelo processamento de conteúdos multimédia...

      Não é diferente dos muitos bugs que se vão resolvendo mensalmente para qualquer sistema operativo existente (de vez em quando, alguns também com muitos anos de existência.)

      Eliminar
  2. Eu uso a app de sms/mms Textra, que tem a protecção contra o bug activada. Se usarem só esta app para lidar com os mms devem ficar seguros, por enquanto.

    ResponderEliminar