2016/08/01

Stagefright continua a causar problemas no Android - um ano depois de ter sido descoberto


O bug stagefright apanhou o mundo de surpresa, mostrando que era possível infectar um dispositivo Android com uma simples imagem; e um ano depois, com centenas de bugs relacionados corrigidos, continuam a existir milhões de utilizadores em risco.

O bug stagefright é um daqueles bugs complicados, pois trata-se de uma vulnerabilidade num componente que é usado por praticamente todas as apps, responsável pelo processamento e apresentação de imagens. Isso faz com que, basicamente, toda e qualquer app que apresente imagens se possa tornar numa porta de entrada para um ataque - incluindo a recepção de um simples MMS.

Depois de soarem os alarmes, a Google apressou-se a corrigir o problema... mas afinal parece que o problema é bem mais difícil de resolver do que se pensava. Um ano depois, foram já feitas centenas de correcções, mas o fantasma do stagefright continua a estar presente e ocasionalmente vão sendo descobertas novas formas de tirar partido dele. Para além disso, há (centenas de?) milhões de equipamentos que nunca receberam uma actualização e continuam vulneráveis - voltando a relembrar a necessidade urgente de, no sistema Android, se arranjar forma de garantir que actualizações críticas de segurança possam chegar a todos os equipamentos, independentemente do seu fabricante.

É que, se este stagefright é grave, imaginem só o que seria alguém criar um worm tipo o Sasser, que em tempos garantia que qualquer computador que se ligasse à internet faria um reboot numa questão de segundos. Um malware que se aproveitasse do Stagefright e de seguida enviasse imagens infectadas para todos os contactos criaria uma reacção em cadeia que poderia garantir a infecção de milhões de dispositivos Android e que, sendo bem feito, poderia ser praticamente indetectável - a não ser que o atacante tivesse por objectivo fazer algo bem visível... como bloquear os smartphones e exigir um resgate para serem desbloqueados.

... Uma coisa é certa, se/quando tal cenário apocalíptico acontecer, será a demonstração de que a questão das actualizações a tempo e horas não poderá continuar a ser adiada.

Sem comentários:

Enviar um comentário (problemas a comentar?)