Menu

PRINCIPAIS NOTÍCIAS SOBRE INTERNET E TECNOLOGIA

28/07/2015

Falha no Android permite invasão com apenas uma mensagem

Especialistas em segurança da empresa Zimperium dizem ter descoberto a “pior vulnerabilidade do Android na história do sistema”. A praga se espalha por mensagens MMS, que não precisam ser abertas para que o telefone seja comprometido. Ela afeta praticamente todos os smartphones com o sistema, independentemente da versão.

Quando a mensagem é recebida, um código é executado, dando a liberdade para que alguém mal intencionado tome o controle do seu celular, permitindo o roubo de dados, ou monitoramento remoto, como ativação da câmera ou microfone. Na prática, um cibercriminoso poderia fazer o que quisesse com seu smartphone e suas informações.

De acordo com Joshua Drake, pesquisador da Zimperium, o processo acontece antes mesmo de o usuário ser notificado de que recebeu uma mensagem, o que torna o bug ainda mais perigoso.

Tudo acontece por causa de uma vulnerabilidade no Hangouts, em um recurso criado para permitir a execução de vídeo. De forma resumida, o cibercriminoso “esconde” um malware com o vídeo e o envia para o seu número de celular. O aparelho processa a mensagem e ativa a vulnerabilidade.

Isso acontece porque o Hangouts processa instantaneamente os vídeos recebidos por MMS e os salva na galeria para facilitar a vida do usuário na hora de executá-los, mas é isso que abre a brecha para o ataque. Se você não usa o Hangouts, e utiliza o app de Mensagens padrão do sistema, a mesma falha ainda é válida, mas ela só se manifesta quando a mensagem é exibida.Felizmente, não há relatos de pessoas afetadas pelo problema. O Google já reconheceu a falha e a classificou como de “alta prioridade”, por permitir execução de código remoto e acesso local ao sistema. A empresa já está se mexendo para solucionar o problema.

A questão é como essa solução será feita. Como já se sabe, atualizações do sistema normalmente têm muitos intermediários, causando demora na distribuição de updates. No caso de uma falha grave de segurança, essa característica do Android é especialmente perigosa.

Ao mesmo tempo, o Google pode tomar o caminho de atualizar apenas os aplicativos defeituosos pela Play Store, ou atualizar o Google Play Services pela loja, que é um processo muito mais simples e com maior alcance, mas ainda não se sabe se esse método é possível.

Fonte: iMasters