2016/07/21

Bug "stagefright" também afecta iPhones e Macs


O bug stagefright foi considerado um dos mais graves de sempre, deixando em risco mais de mil milhões de dispositivos Android, que poderiam ser infectados através de uma simples imagem exibida no browser ou recebida via SMS - afinal também afecta os iPhones e Macs da Apple,

Esta vulnerabilidade nos sistemas da Apple poderá não receber o mesmo nome, mas o processo de funcionamento é exactamente o mesmo. Um atacante necessita apenas de uma imagem "infectada", que seja exibida no computador ou smartphone da vítima - quer seja no browser, iMessages, MMS, etc. - para conseguir executar código malicioso e potencialmente ganhar controlo sobre o dispositivo.

É uma vulnerabilidade grave porque se aproveita de uma função básica (o processamento feito para a exibição de uma imagem) que é utilizada a nível de sistema por inúmeros programas, ampliando drasticamente o seu efeito; mas felizmente também já se encontra corrigida nos mais recentes OS X (10.11.6) e iOS (9.3.3), pelo que é fortemente recomendada a actualização quanto antes.

Resta saber se, considerando a gravidade deste bug, a Apple irá disponibilizar correcções para os dispositivos que não têm acesso a estas versões (iPhones mais antigos, por exemplo). Ou se, como muitos dispositivos Android, estes ficarão para sempre à distância de uma imagem para poderem ficar infectados com malware.

25 comentários:

  1. O iPhone não tem stagefright, logo não tem bug no stagefright.

    Fanboys de Android = LOL!

    ResponderEliminar
    Respostas
    1. Já agora, o Stagefright ainda continua a fazer das suas em 2016:

      http://www.cvedetails.com/cve/CVE-2016-2506/

      Onde é que está a notícia para estes bugs? Escapou? É mais importante falar da Apple?

      Eliminar
    2. "Esta vulnerabilidade nos sistemas da Apple poderá não receber o mesmo nome, mas o processo de funcionamento é exactamente o mesmo..."

      "Ou se, como muitos dispositivos Android, estes ficarão para sempre à distância de uma imagem para poderem ficar infectados com malware."

      Seria aconselhável ler as coisas antes das "comichões" incentivarem comentários precipitados... não?

      Eliminar
    3. É, eu percebi tudo...

      O burro sou eu!

      Já diz o ditado "the only thing more insecure than Android, are Android users"

      Eliminar
    4. Infelizmente a insegurança de uma plataforma não faz com que as da concorrência sejam automaticamente melhores. O que interessa é apanhar e corrigir os erros, e nesse aspecto acho que todos podem aprender uns com os outros. (Ou vai preferir continuar a criticar o Android e fechar os olhos a que iOS tinha uma falha idêntica?)

      Quanto a generalizações sobre utilizadores Android/iOS, penso que quem tem que recorrer a isso já demonstra bem que tem uma visão bastante tendenciosa... Pelo que, aconselho que tanto de um lado como do outro, se digne a passar pelos fóruns de suporte da respectiva plataforma, para ver que não faltam milhares de queixas e bugs que afectam os utilizadores - e aí, curiosamente, os fãs de ambos os lados estão em sintonia: pois desde que para eles funcione bem dizem sempre "o problema é teu, aqui trabalha!"

      ... O que demonstra que se calhar têm mais em comum do que de diferente. :)

      Eliminar
    5. Tinha falha idêntica?

      No iOS a falha foi corrigida antes de se tornar pública e o update veio para TODOS os aparelhos A5 para cima (2011)

      No Android, aconteceu o mesmo?

      Não, 99% não recebeu, e ainda hoje saem diversas vulnerabilidades no mesmo sítio!

      O intuito deste texto é de gerar a sensação que "no iOS é igual", o que é puramente ridículo e tendencioso. Boa sorte ao autor, conseguiu convencer 0 pessoas que não tivessem já uma visão toldada, espero que fique contente com o resultado.

      Mais Uma vez, quando sai o mesmo para Android não fala nada, não é?

      Eliminar
    6. Rui, parece estar a haver qualquer falha de comunicação. Falamos por diversas vezes do bug stagefright quando foi dado a conhecer, incluindo o facto de continuar a estar presente após supostamente ter sido corrigido. (Memória selectiva?)

      Neste caso, a notícia é sobre o iOS (e OS X) que afinal também tinham vulnerabilidade idêntica. Sim, a Apple tem a vantagem das actualizações chegarem mais rapidamente a maior número de equipamentos, mas a questão é que quem mais tira partido destas vulnerabilidades não está à espera que as mesmas sejam anunciadas publicamente (por algum motivo o mercado das falhas 0-day paga milhões por elas.)

      ... A sério que não compreendo porque motivo há pessoas que ficam tão incomodadas quando constatam que não existem produtos perfeitos... Custa assim tanto aceitar isso, e que isso não invalida as coisas boas que possa ter (e que continue a ter outras que deviam ser melhoradas)?

      Eliminar
    7. Já voltaram a sair novas vulnerabilidades, que já foram reportadas, já se tornaram públicas, são consideradas de gravidade 10/10, isto em 2016 e na mesma no stagefright. Pior que tudo, 99% dos equipamentos não receberam atualizações, nem nunca receberão por negligência crónica de todas as partes.

      Vocês não disseram nada.

      Neste caso, é uma vulnerabilidade normalissima, saem destas dezenas por mês para outros SOs do Windows ao Linux. Foi corrigida pela Apple em tempo acordado antes de se tornar pública, a atualização está mais que disponível.

      Para falar e dar controvérsia a uma caso destes, têm de dar a todos os casos idênticos e piores. Mas trata-se de jornalismo selectivo, jornalismo para agradar aos milhões de meninos e meninas que querem é abrir o browser e ler que o Android não é assim tão mau, e o iOS também erra!!!

      Ainda por cima quando o jornalista usa termos com a conotação que têm (stagefright), para empurrar para o iOS!

      A mesma coisa quando dobraram o iPhone 6 no YouTube... a tinta, os memes a gozar, as críticas, os "Apple is doomed", etc.

      Mas quando dobraram o nexus 6p, que se partiu logo todo, nem foi dobrado, foram logo dezenas de vídeos no YouTube a dizer que o telemovel é feito de aço, que é indobravel, e com idiotas a fazer cara de otario a dizer que estão a fazer muita força e que o vídeo do outro gajo é falso e não sei que mais!

      Mais o apoio dos sites de fanboys android.

      Triste! E é só!

      Eliminar
    8. Rui, lamento dizer-te que só demonstras que não és leitor regular do AadM, e que tenho pena que em 2016 ainda haja quem perpetue essa absurda noção de "fanboyismos" e "isheepices"... (Os tempos em que tentava educadamente e pacientemente dialogar com fanboys Android de manhã num artigo e fanboys Apple à tarde noutro artigo já lá vão...)

      P.S. Gosto como referes que este bug afinal é uma vulnerabilidade normalíssima, tanto para o iOS, como Windows, como Linux... no Android, raios, aí é que já não.

      P.S.2. Estarás consciente que para todas as versões do iOS até à data sempre têm existido jailbreaks, certo? E que todos eles dependem de vulnerabilidades para tomarem conta do sistema. (Ou já não és do tempo em que bastava abrir um PDF para, desejando-se ou não, fazeres jailbreak ao iPhone?)

      Mas pronto, o que importa é que no Android há buracos por todo o lado (metendo-se no mesmo saco os dispositivos que nunca terão uma actualização e também os outros que recebem actualizações mensais de segurança... Afinal, Android é Android, é tudo igual.) Realmente, é mesmo muito triste...

      Eliminar
    9. PS = é sim, é uma vulnerabilidade que foi descoberta, reportada, e a Apple corrigiu em menos do tempo dado para a disclosure que normalmente são 3 meses, e o patch está disponível para todos os equipamentos, como é NORMAL no macOS, Windows, Linux, etc. ao contrário do caso Android.

      PS2 = Está você? Você sabia que desde o iOS 9.0.2, lançado em Setembro de 2015, que já não há jailbreak? Daí até agora, nunca mais houve jailbreak.

      Antigamente, sim, era possível abrir um PDF e apanhar jailbreak, mas muitos anos atrás… hoje em dia, isso é possível na MAIORIA dos Android que andam aí!

      E sim, Android é Android.

      Quando vocês querem dizer que venderam X milhões de telemóveis, Android é Android.

      Quando vocês querem dizer que têm 90% de marketshare, Android é Android.

      Quando vocês querem dizer que têm diversas marcas por onde escolher, Android é Android.

      Quando vocês querem dizer que têm telemóveis desde 20€ a mais de 2000€, Android é Android.

      Mas quando já não vos interessa "estão a meter tudo no mesmo saco, porque há um telemóvel que recebe updates, porque há um telemóvel que é resistente à água, porque há um telemóvel que é mais fino que o iPhone, porque há um telemóvel com 10 mil mAh, porque há um que é feito de liquidmetal, etc."

      O "Android é Android" só interessa para algumas coisas, para as outras, já não...

      Eliminar
    10. Good, good...
      Let the hate flow through you!

      Eliminar
    11. Pronto, já vi que o objectivo é desabafar (e tudo bem, é preciso).

      No entanto, poderás querer actualizar a tua lista de "certezas", pois da última vez que espreitei, havia jailbreak para o iOS 9.1. E pesquisando um pouco, as coisas parecem estar bem encaminhadas (pelo menos uma equipa com credibilidade já demonstrou publicamente um jailbreak no iOS 10 beta.)

      E agora... respira fundo, que realmente não há motivo para ficares tão incomodado com coisas destas.

      Eliminar
    12. "No entanto, poderás querer actualizar a tua lista de "certezas", pois da última vez que espreitei, havia jailbreak para o iOS 9.1."

      Pensas que eu não sei?

      Esse jailbreak surgiu depois de sair uma nova versão do iOS, logo, não conta, um jailbreak para uma versão que não a mais actual.

      Quanto ao jailbreak para iOS 10, é para rir?

      É uma versão beta, ponto final, e o jailbreak nem sequer é público.

      Enquanto isso, há aplicações na Play Store que fazem jailbreak aos Androids sem intervenção dos utilizadores, mas isso já não interessa, pois não?

      http://arstechnica.com/security/2016/06/godless-apps-some-found-in-google-play-root-90-of-android-phones/

      Eliminar
    13. É o que digo... a cegueira selectiva é tramada...
      http://abertoatedemadrugada.com/2016/06/malware-godless-pode-fazer-root.html

      Eliminar
    14. P.S. Uma vez que já ficou bem patente a tua dualidade de critérios, compreenderás que tome a liberdade de simplesmente ignorar os teus comentários posteriores e eliminá-los sempre que entender que são facciosos.

      (Ou não por cá não se tivesse criado uma comunidade que mensalmente até organiza encontros e almoços onde fãs de Androids, iPhones, Windows, Linuxs, e tudo o resto, sabem conviver pacificamente e alegremente.)

      Eliminar
    15. > P.S. Uma vez que já ficou bem patente a tua dualidade de critérios, compreenderás que tome a liberdade de simplesmente ignorar os teus comentários posteriores e eliminá-los sempre que entender que são facciosos.

      De outra maneira: como perdi, e o site é meu, vou-te censurar.

      Eliminar
    16. Já ouvi extremistas religiosos mais moderados do que este Rui

      Eliminar
    17. Isso da azia é lixada, Rui toma mas é um compensan e deixa de chatear os outros só porque tas butthurt, volta lá para o teu OS limitado e deixa os outros em paz que a gente não somos pagos para aturar crianças.

      Eliminar
    18. E só para comprovar a segurança absoluta e inviolável dos sistemas da Apple, já está disponível jailbreak untethered do iOS 9.3.3.

      http://www.idownloadblog.com/2016/07/25/jailbreak-ios-9-3-3-without-computer/

      Eliminar
    19. so para reforcar a ultima resposta, deixo aqui, Rui, leitura interessante... http://abertoatedemadrugada.com/2016/07/jailbreak-para-ios-933-ja-disponivel.html ... and i rest my case

      Eliminar
  2. Lol. Estes fim boys continuam a comer a.cassete do Steve e acreditar que se é Apple, é perfeito. Enfim,.é triste.

    ResponderEliminar
  3. O meu Nokia 3310 não tem stage frights!

    ResponderEliminar
  4. Carlos Martins, "perde" tempo a trazer-nos informação, isenta e interessante, como sempre tens feito. Mas não percas a argumentar com idiotas.

    Para discutir com um idiota tens sempre de descer ao seu nível. E aí, estás lixado! Ele tem experiência, tu não...

    Abraço e obrigado pelo AADM.

    ResponderEliminar