Por Redação O Sul | 11 de agosto de 2015
OGoogle já começou a liberar patches (correções) que devem solucionar as brechas da vulnerabilidade Stagefright, um componente dos “bastidores” do Android que é responsável pela reprodução de vídeos. O problema foi descoberto por especialistas da empresa de segurança Zimperium.
As falhas atingem 95% dos aparelhos que rodam Android, e permite que invasores tomem o controle de um dispositivo com uma mensagem multimídia.
Em alguns casos, o usuário não precisa abrir a mensagem para ser atacado. Qualquer vídeo reproduzido pelo componente pode ser usado em um ataque, mas o meio mais fácil de explorar a falha é por meio de uma mensagem de vídeo. Alguns apps abrem esses vídeos automaticamente, o que deixa os usuários vulneráveis.
Joshua Drake, que descobriu a brecha, estima que até 950 milhões de aparelhos podem estar vulneráveis, já que a brecha existe em todas as versões do Android desde a 2.2.
De acordo com o engenheiro-chefe de segurança do sistema operacional, Adrian Ludwig, as correções chegam primeiro aos modelos de smartphones e tablets da linha Nexus, mas já foram enviadas às fabricantes parceiras e serão disponibilizadas em código aberto.
Dessa forma, dispositivos Android mais populares deverão receber o update ainda neste mês.
Em comunicado, o gigante das buscas incluiu na lista alguns aparelhos feitos pela Samsung, HTC, LG e Sony, mas os Motorolas e modelos de outras marcas também devem receber a atualização em breve.
Ludwig ressaltou que, apesar da existência da falha, 90% dos aparelhos com Android contam com um recurso que os protege de ataques pela brecha.
O chamado ALSR (sigla para Address Space Layout Randomization) previne os transbordamentos de dados (ou buffer overflows, no termo original), como os que acontecem quando o Hangouts ou o app Mensagens recebe um vídeo “contaminado”.
O engenheiro do Google também recomendou que os usuários trocassem seu aplicativo padrão pelo Messenger, compatível com Androids a partir do JellyBean.
Em sua próxima versão, o programa terá a opção de não baixar e rodar automaticamente os arquivos de mídia recebidos. Assim, caso a mensagem seja suspeita, o usuário pode simplesmente apagá-la.
Além de falar do Stagefright, Ludwig revelou que aparelhos da linha Nexus (Nexus 4, 5, 6, 7, 9, 10 e Player) passarão a receber atualizações mensais de segurança, quase como faz a Microsoft semanalmente com sua Patch Tuesday para o Windows. O primeiro pacote de correções já foi liberado.
De acordo com o Google, as medidas de segurança do Android, como a verificação de apps no Google Play e o isolamento de apps, conseguem proteger praticamente todos os usuários. Entre os aparelhos com Android onde somente programas disponíveis no Google Play foram instalados, menos de 0,15% foi infectado por apps maliciosos, segundo dados da empresa.
Os comentários estão desativados.