Pesquisadores recentemente descobriram uma falha de segurança crítica que ameaça expor quase um bilhão de usuários ao que está sendo considerado como “uma das piores vulnerabilidades descobertas no Android”. A brecha de segurança encontrada no coração do sistema operacional amplamente usado foi identificada pela primeira vez em abril e, potencialmente afeta 95% de todos os dispositivos Android, ou um número estimado de 950 milhões de usuários de smartphones e tablets Android com as versões 2.2 ou superiores.

O bug foi descoberto na Stagefright, uma das bibliotecas de mídia do Android, usada para ler e exibir arquivos multimídia em formatos variados. Também foi relatado que foram vistas múltiplas vulnerabilidades de execução de código remoto, todas elas podendo ser exploradas através de vários métodos.

A falha pode ser explorada sem qualquer forma de interação, tornando-a diferente de outros ataques que basicamente contam com um movimento errado do usuário, como clicar em um link malicioso ou baixar um anexo infectado. Isso significa que tudo que um agressor precisa é do número do telefone do alvo e um arquivo de mídia deformado anexado a um MMS e enviado para a vítima.

Táticas mais avançadas podem ser usadas para furtivamente comprometer um dispositivo – mesmo quando o usuário não o está usando. Isso é feito apagando a mensagem antes mesmo que o usuário chegue a vê-la, de forma a não deixar nenhum vestígio de que o dispositivo foi comprometido. Depois de infectado, os agressores terão um controle significativo sobre o dispositivo da vítima, dando a eles um acesso remoto às aplicações do dispositivo, como gravador de áudio e câmera para vigilância. Além de espiar, os agressores também podem tirar novas imagens e gravar áudio com o dispositivo Android infectado. Uma análise mais completa sobre a vulnerabilidade descoberta está programada para ser divulgada pelos pesquisadores na próxima conferência Backhat, em Las Vegas.

Até o momento, os pesquisadores não foram alertados sobre agressores usando essas vulnerabilidades como arma para sua vantagem. Porém, agora é uma questão de quanto tempo e quão rápido os agressores poderão ver isso como uma oportunidade para vitimizarem usuários de Android. Após sua descoberta, os pesquisadores prontamente avisaram o Google sobre a vulnerabilidade paralisante. O Google tomou as medidas necessárias para resolver a falha.

Em uma declaração, o Google disse, “A segurança dos usuários do Android é extremamemte importante para nós e portanto respondemos rapidamente e já foram fornecidos patches que podem se aplicados em qualquer dispositivo.” Outros parceiros Android, a saber HTC, Blackphone, Samsung, Nexus e T-Mobile, manifestaram uma participação ativa nas ações necessárias para garantir a segurança do usuário.

Até que os patches sejam implementados, os usuários são aconselhados a desligar a configuração de Auto-recuperação em seus dispositivos Android para diminuir os riscos de infecção. Na mesma linha, os usuários devem ser mais cuidadosos com arquivos multimídia que venham de fontes não verificadas e suspeitas.