Correção incompleta do Stagefright do Google deixa usuários do Android à mercê de hackers

Pesquisadores descobrem falhas na correção mal feita do Stagefright emitida pelo Google para smartphones e tablets Android

Parece que o bug do Stagefright do Android está se tornando uma verdadeira dor de cabeça para o Google. Corrigir o ‘bug do Stagefright’ em dispositivos Android está levando mais tempo do que o Google poderia ter esperado!

No final do mês passado, quando o pesquisador de segurança, Joshua Drake, expôs os detalhes da vulnerabilidade do Stagefright, o Google foi rápido o suficiente para fornecer os patches necessários. Vários outros fabricantes e operadoras de Android também se uniram para corrigir o problema na maioria dos dispositivos Android. Alguns deles também anunciaram que lançariam patches mensais, que na verdade foram estabelecidos como consequência do bug do Stagefright.

No entanto, parece que os patches lançados pelo Google foram mal feitos e corrigidos às pressas. Os pesquisadores da Exodus Intelligence descobriram uma falha em um dos patches que foi emitido pelo Google e afirmam que, sob condições apropriadas, o dispositivo Android ainda é vulnerável ao ataque do Stagefright.

Faz apenas cerca de oito dias que o Google, os fabricantes de Android e as operadoras emitiram patches apropriados para seus respectivos dispositivos. Após a implantação do patch, os pesquisadores da Exodus Intelligence conseguiram provocar uma falha no sistema em um dispositivo Android. Parece que a equipe de pesquisa usou um arquivo mp4 codificado adequadamente via MMS para atacar o telefone.

Os pesquisadores enviaram uma declaração por e-mail afirmando: “O resumo é que a vulnerabilidade do Stagefright ainda é explorável e o patch de 4 linhas que foi implementado é defeituoso. Conseguimos provocar a falha que ainda afeta mais de 950 milhões de dispositivos Android.”

Atualmente, não está claro se o bug pode ser explorado apenas para execução de código ou se também pode ser usado para desligamento do sistema.

Por outro lado, assim que a Exodus relatou o problema junto com o patch ao Google, este imediatamente tornou o patch de código aberto para a falha.

O Google confirmou que já enviou um segundo patch para o problema.

Em uma declaração, o Google disse: “Já enviamos a correção para nossos parceiros para proteger os usuários, e Nexus 4/5/6/7/9/10 e Nexus Player receberão a atualização OTA na atualização de segurança mensal de setembro.”

Atualmente, não está confirmado se os telefones não Nexus também receberão o segundo patch; no entanto, parece que os dispositivos serão fornecidos com este novo patch incluído no sistema de patch mensal que será lançado em breve, conforme já confirmado anteriormente pelo Google, fabricantes de Android e algumas operadoras.

Geralmente, sempre que um bug ou vulnerabilidade é descoberto, deve haver um período de aviso padrão de 30 dias, que daria tempo suficiente para a empresa entender a falha e fornecer um patch adequado para mitigar o problema. No entanto, os pesquisadores da Exodus Intelligence divulgaram o bug muito rapidamente e o Google teve menos de uma semana para projetar e implantar o patch para a falha destacada.

A Exodus, no entanto, acredita que a falha fazia parte da divulgação da vulnerabilidade do Stagefright que já havia sido relatada ao Google há cerca de quatro meses e, surpreendentemente, o Google ainda estava usando um patch defeituoso. Portanto, sob o cenário atual, quando há uma intensa conscientização pública sobre o ataque do Stagefright, a Exodus não pôde manter o bug em segredo.

A Exodus acrescentou:

“Houve uma quantidade desproporcional de atenção voltada para o bug. Acreditamos que provavelmente não somos os únicos a ter notado que ele é defeituoso. Outros podem ter intenções maliciosas.“

No entanto, o Google enfatizou a importância de sistemas de mitigação como a Randomização de Layout de Espaço de Endereço (ASLR), que está presente nos dispositivos Android. Ele fez uma declaração que afirma: “atualmente, mais de 90% dos dispositivos Android têm uma tecnologia chamada ASLR habilitada, que protege os usuários desse problema.”

Bem, por enquanto, os usuários do Android precisam ter cuidado e estar alertas sempre que abrirem mensagens recebidas de fontes desconhecidas. Consulte a análise detalhada do Stagefright e como um pode parar o ataque do Stagefright mencionada em nosso artigo anterior.