Atualização de segurança do Android traz mais correções para falhas críticas de segurança

O Google disponibilizou suas atualizações de segurança mais recente para o Android OS em seus próprios dispositivos Nexus, regularmente agendadas para a primeira segunda-feira do mês. Foi disponibilizado um lote de patches e dezenas de correções para quarenta bugs, oito dos quais foram marcados como de “alta gravidade”. Um dos erros mais graves das oito falhas críticas da atualização é para o componente Mediaserver, que desempenha um papel crucial lidando com os elementos de multimídia nos fones Android, como tirar fotos, ler arquivos MP4 e gravar vídeos.

O Mediaserver recebeu vários patches para um problema de execução de código remoto. O bug afeta as versões Android 4.4.4 KitKat até o Android 6.0.1. “Uma vulnerabilidade de execução de código remoto no Mediaserver podia permitir que um agressor usando um arquivo especialmente elaborado causasse corrupção de memória durante o arquivamento de mídia e processamento de dados”, informou o Google. Se um agressor explora esse componente com sucesso, pode executar seu código com as mesmas permissões que o Mediaserver já tem como parte de suas rotinas normais. “Uma vulnerabilidade de aumento de privilégio no Mediaserver poderia permitir que uma aplicação maliciosa no local executasse um código dentro do contexto de uma aplicação de sistema elevado. Esse problema foi classificado como Alto, porque poderia ser usado para obter um acesso local a recursos elevados, como privilégios de permissões de Assinatura ou “Assinatura Ou Sistema” (SignatureOrSystem), que não são acessíveis a aplicações de outros fornecedores”, acrescentou o Google.

Em julho de 2015, foi descoberta uma falha de segurança crítica em uma das bibliotecas de mídia do Android. Rotulada como vulnerabilidade Stagefright, a falha pode ser explorada sem qualquer interação, tornando-a diferente de outros ataques que dependem do clique de um usuário em um link malicioso ou baixando um anexo adulterado. O bug pode afetar 95% dos dispositivos Android, ou cerca de 950 milhões de usuários de smartphones ou tablets Android da versão 2.2 ou superiores.

O Google também corrigiu seis bugs presentes em componentes Qualcomm de fones, inclusive a câmera Qualcomm, drivers de vídeo, som, GPU e WiFi, recebendo um total de dezesseis correções: duas para cada um dos drivers de som e GPU e uma para cada componente dos drivers de vídeo e WiFi. Esses seis bugs críticos permitiam que aplicativos instalados entrassem no espaço do kernel, sequestrando totalmente o dispositivo para roubar credenciais do usuário e espionar as vítimas. Segundo as notas da atualização, “uma vulnerabilidade de elevação de privilégio nos componentes Qualcomm [sic] poderia permitir que uma aplicação maliciosa local executasse um código arbitrário dentro do contexto do kernel. Esse problema foi classificado como Alto, por que ele requer primeiro o comprometimento de um serviço que pode chamar o driver.” As atualizações para o Nexus foram disponibilizadas como atualizações over-the-air, enquanto as OEMs tem que esperar pelas imagens atualizadas do sistema operacional por mais dois dias, antes de implementar as correções desse mês em seus pacotes de atualizações de seu respectivo sistema operacional.