Ataque Stagefright: Basta uma única mensagem de texto para hackear um smartphone Android

Ataque Stagefright, a Mãe de todas as Vulnerabilidades Android coloca 950 milhões de smartphones em risco

Mais de 95 por cento dos smartphones Android em circulação, ou aproximadamente 950 milhões de smartphones, podem ser vulneráveis a um ataque de hack único, mas crítico, chamado Stagefright.

Joshua Drake, da Zimperium Mobile Security, descobriu seis + uma vulnerabilidades críticas no mecanismo de reprodução de mídia nativo chamado Stagefright. Ele chama essas fraquezas de ‘Mãe de todas as Vulnerabilidades Android’.

Drake disse que as vulnerabilidades podem ser exploradas enviando uma única mensagem de texto multimídia para um smartphone Android não corrigido. Embora a exploração seja mortal, em alguns casos, onde os telefones analisam o código de ataque antes da mensagem ser aberta, as explorações são silenciosas e o usuário teria pouca chance de defender seus dados.

Stagefright é uma ferramenta nativa de reprodução de mídia usada pelo Android e todas essas fraquezas residem nela. Drake afirma que todas são bugs de “execução remota de código”, permitindo que hackers maliciosos infiltram dispositivos e exfiltram dados privados.

De acordo com Drake, tudo que o potencial hacker precisa fazer é enviar as explorações para os números de telefone móveis que poderiam ser alvos. A partir daí, eles poderiam enviar uma exploração embalada em uma mensagem multimídia Stagefright (MMS), que lhes permitiria escrever código no dispositivo e roubar dados de seções do telefone que podem ser acessadas com as permissões do Stagefright.

Uma vez que a vulnerabilidade é explorada, os hackers podem acessar quase tudo, incluindo gravações de áudio e vídeo, espionando fotos armazenadas em cartões SD. Até mesmo o humilde rádio Bluetooth também pode ser hackeado via Stagefright.

Dependendo do aplicativo MMS em uso, a vítima pode nunca saber que recebeu uma mensagem.

As vulnerabilidades são tão críticas que enviar um código de exploração para o Google Hangouts da vítima “acionaria instantaneamente a exploração, mesmo antes que o usuário pudesse olhar para o smartphone ou antes que ele recebesse a notificação”.

Outro aspecto interessante da exploração é que, uma vez que ela foi entregue, o hacker pode deletar a mensagem antes que o usuário tenha sido alertado sobre isso, tornando os ataques completamente silenciosos.

Drake fará a divulgação completa junto com a Prova de Conceito na Def Con em 6 de agosto. Ele afirmou à Forbes que havia relatado sobre os bugs em abril deste ano e o Google enviou os patches para seus parceiros de fabricação de smartphones.

Drake afirmou que um total de sete vulnerabilidades havia sido enviado ao Google até 9 de abril de 2015 e o Google havia relatado a ele que havia agendado patches para 8 de maio de 2015. Além disso, o Google garantiu a Drake que todas as futuras versões do Android seriam lançadas pré-corrigidas contra essas vulnerabilidades.

No entanto, como é o caso com qualquer atualização de smartphone Android, os fabricantes de smartphones raramente repassam os patches para os usuários finais do smartphone. Particularmente os menores fabricantes que fazem smartphones Android localizados. Assim, pode-se assumir com segurança que quase 950 milhões de smartphones e tablets Android em circulação podem ser exploráveis usando a vulnerabilidade Stagefright.

“Todos os dispositivos devem ser considerados vulneráveis”, disse Drake à Forbes. Drake afirma que apenas os telefones Android abaixo da versão 2.2 não são afetados por essa vulnerabilidade específica.

“Eu fiz muitos testes em um Galaxy Nexus com Ice Cream Sandwich… onde o MMS padrão é o aplicativo de mensagens Messenger. Esse não aciona automaticamente, mas se você olhar para o MMS, ele aciona, você não precisa tentar reproduzir a mídia ou qualquer coisa, você só precisa olhar para ele”, acrescentou Drake.

Em uma declaração enviada por e-mail à Forbes, o Google agradeceu a Drake por relatar os problemas e fornecer patches, observando que seus parceiros fabricantes devem implantar nas próximas semanas e meses.

“A maioria dos dispositivos Android, incluindo todos os dispositivos mais novos, possui várias tecnologias projetadas para dificultar a exploração. Os dispositivos Android também incluem uma sandbox de aplicativo projetada para proteger os dados do usuário e outros aplicativos no dispositivo”, disse um porta-voz. O porta-voz do Google entrou em contato com o Techworm e disse que eles estarão enviando patches adicionais para dispositivos Nexus na próxima semana antes do início da DefCon 2015. O e-mail também afirma que o Google já havia emitido correções para os fabricantes de smartphones, no entanto, o e-mail não esclareceu quais fabricantes de smartphones haviam emitido patches para os usuários finais. O e-mail diz: “Essa vulnerabilidade foi identificada em um ambiente de laboratório em dispositivos Android mais antigos e, até onde sabemos, ninguém foi afetado. Assim que fomos informados sobre a vulnerabilidade, tomamos medidas imediatas e enviamos uma correção para nossos parceiros para proteger os usuários. Como parte de uma atualização de segurança programada regularmente, planejamos enviar mais salvaguardas para dispositivos Nexus a partir da próxima semana. E, estaremos lançando isso como código aberto quando os detalhes forem tornados públicos pelo pesquisador no BlackHat.”

A DefCon 2015 começa na primeira semana de agosto de 2015 e esperamos que muitas vulnerabilidades sejam tornadas públicas durante o curso da principal conferência de hacking do mundo. Também estamos buscando comentários do Google sobre a nova vulnerabilidade Silent Attack revelada pelos Trend MicroLabs, que torna quase 500 milhões de smartphones Android vulneráveis.