Em julho de 2015, uma série de vulnerabilidades foram encontradas no componente multimídia libStageFright do Android. Chamada de Stagefright, a vulnerabilidade coloca milhões de dispositivos Android em risco, permitindo execução de código remoto após receber uma mensagem MMS, baixar um arquivo de vídeo ou abrir uma página com conteúdo multimídia incorporado. A Trend Micro descobriu essa vulnerabilidade dentro da biblioteca Stagefright durante aquele período que poderia virtualmente “matar” um dispositivo Android quando explorada.
O Google, desde então, distribuiu patches para as vulnerabilidades do Stagefright (e disse que a empresa iria implementar um cronograma de patches regulares), mas parece que ainda há algumas falhas que podem ser exploradas. Pesquisadores do NorthBit divulgaram um documento que fornece detalhes sobre um exploit do Stagefright funcionando na vulnerabilidade CVE-2015-3864. Chamado de “Metaphor”, diz-se que o exploit afeta dispositivos das versões 2.2 a 4.0 do Android e é capaz de contornar o ASLR(1) nas versões 5.0 a 5.1.
(1) ASLR (Adress space layout randomization) é um processo que protege os sistemas operacionais contra ataques de buffer overflow (estouro de pilha), impedindo que os agressores encontrem funções exploradas na memória.
Esse estudo detalha como o dispositivo Android pode ser sequestrado. A vítima é levada a visitar uma página da web maliciosa – e a ficar na página – enquanto o exploit roda. Em segundo plano, um arquivo de vídeo na página força uma interrupção do mediaserver, fazendo-o reiniciar. Então, um Javascript na página da web espera o mediaserver reiniciar e depois enviar informações do dispositivo de volta para o servidor do agressor. Usando as informações coletadas, outro arquivo de vídeo com malware é enviado para o dispositivo. Uma vez executado, o código fornece ao agressor controle sobre o dispositivo – permitindo espionar ou roubar informações através do dispositivo.
Apesar de se esperar que o Google disponibilize um patch em breve para corrigir a falha explorada pelo Metaphor, pode não ser rápido o suficiente. A correção do ciclo de bugs do Stagefright encontrados no ano passado ainda está fraca, graças ao número de fabricantes e operadoras envolvidas na distribuição do patch e não é diferente hoje. Proprietários dos dispositivos afetados são aconselhados a atualizar seu software assim que um patch estiver disponível.