As ameaças contra dispositivos móveis são cada vez maiores e as vulnerabilidades com exploits estão ganhando força. O lado bom? Cada vez mais vulnerabilidades são divulgadas, analisadas e detectadas. Isso ajuda cada vez mais a livrar os dispositivos Android de zero-days e malwares, permitindo que os OEMs/provedores tenham uma resposta mais pró-ativa contra essas ameaças. Isso ecoa em nossas  iniciativas contínuas de pesquisa de vulnerabilidades no sistema Android: de Junho a Agosto de 2016, por exemplo, avisamos a Google de 13 novas vulnerabilidades encontradas. O impacto destas vulnerabilidades no mundo real varia de drenagem da bateria e a captura não autorizada de fotos, vídeos e gravações de áudio, até vazamento de dados do sistema e controle remoto. Isso além das 16 outras falhas de segurança que descobrimos e que foram citadas nos boletins de segurança da Google/Android entre os meses de Janeiro e Setembro deste ano.

As 13 vulnerabilidades não foram classificadas como críticas, mas disponibilizam mais vetores de ataque para os bandidos. Um exploit de root pode ser desenvolvido através do encadeamento de alguns deles, por exemplo. Um aplicativo malicioso pode ter como alvo uma vulnerabilidade no servidor da câmera para colocar seu diretório em risco e, por fim, ter acesso a privilégios de root no dispositivo.

Eles também fornecem muitos motivos pelos quais o seu dispositivo Android precisa ser atualizado, tendo em vista que podem:

Acabar rapidamente com a duração da bateria do dispositivo

Culpado: CVE-2016-3920

Componente afetado: libstagefright, serviço de reprodução de mídia do Android

Detalhes: CVE-2016-3920, semelhante ao CVE-2015-3823, é uma vulnerabilidade fácil de explorar o componente de serviço negado do MediaServer do Android , que pode prender o dispositivo em um ciclo contínuo de travar e reiniciar. Os atacantes podem levar as vítimas a navegar em um site malicioso ou a baixar e instalar um arquivo de mídia ou aplicativo especialmente criado para isto. Um arquivo MP3 adaptado, por exemplo, pode levar a um  ataque de serviço negado no processo MediaServer do dispositivo.

Mitigação: Remova o arquivo afetado do dispositivo e pare de acessar o site malicioso.

Tirar fotos ou gravar vídeos sem permissão (também: root o telefone)

Culpados: CVE-2016-3915, CVE-2016-3916, CVE-2016-3903

Componentes afetados: Processo e diretório do servidor da câmera

Detalhes: CVE-2016-3915 e CVE-2016-3916 são vulnerabilidades no processo do servidor da câmera do dispositivo; CVE-2016-3903 é específico para o diretório da câmera Qualcomm. Isso pode fazer com que os atacantes possam executar um código arbitrário através um privilégio maior. O CVE-2016-3903 se aproveita de um bug de corrupção de memória (Utilize Após Livre) no diretório da câmera da Qualcomm. Um processo em nível de sistema pode potencializar isso para comprometer o kernel e, eventualmente, obter  privilégios de root. Os CVE-2016-3915 e CVE-2016-3916 podem ser desencadeados por aplicativos maliciosos e ataques desencadeados a partir de mecanismo de comunicação entre processos do Android (chamada de Binder). O CVE-2016-3903 precisa ser acionado no grupo de câmeras através da chamada de controle de entrada/saída (IOCTL) como um usuário do sistema.

Lado Bom: Estas falhas podem ser facilmente acionadas, mas são difíceis de explorar, graças a várias mitigações do sistema, especialmente no Android Marshmallow / 6.0.

Vazamento de informações do sistema para contornar os recursos de segurança do dispositivo

Culpados: CVE-2016-6683, CVE-2016-6685, CVE-2016-6679, CVE-2016-6680, CVE-2016-3924

Componentes Afetados: Componentes/diretórios de som, Wi-Fi e kernel

Detalhes: CVE-2016-6683 é uma vulnerabilidade no mecanismo de comunicação para processos do Android (Binder) que expõe o endereço objeto kernel no diretório do Binder, quando explorado. O CVE-2016-6685 é uma falha em um componente do kernel da Advanced Linux Sound System Architecture (ALSA) da Qualcomm em um diretório do Chip (SoC). Ambos podem ser utilizados como parte de um root exploit chain para escapar do kptr_restrict, um recurso de segurança configurável que protege endereços virtuais (usado pelo kernel) contra vazamento. O CVE-2016-6679 e o CVE-2016-6680 são  bugs de leitura fora dos limites no diretório de Wi-Fi da Qualcomm que podem resultar na divulgação inadvertida de informações do kernel do dispositivo. Eles podem ser potencializados para evitar o Kernel Address Space Layout Randomization (KASLR), um mecanismo que mitiga o fluxo exagerado de buffer e vulnerabilidades do uso-quando-livre. O CVE-2016-3924 é uma falha no libaudioflinger, uma parte do MediaServer do Android que administra o sistema de som nativo do dispositivo. A exploração deste leva a uma divulgação não autorizada do servidor de áudio, que pode ser potencializado para evitar o Address Space   Layout Randomization  (ASLR) do dispositivo, um processo anti-fluxo excessivo de buffer.

Lição: Embora não sejam classificadas como críticas, essas vulnerabilidades podem ser encadeadas para direcionar ataques mais potentes e até mesmo obter acesso ao root do dispositivo.

Secretamente grava suas chamadas (ou: ‘rouba’ o dispositivo)

Culpado: CVE-2016-3910

Componente Afetado: libsoundtriggerservice, que é parte de MediaServer

Detalhes: O CVE-2016-3910 é uma vulnerabilidade de escalação de privilégio no libsoundtriggerservice do MediaServer, responsável pelo processamento de funções de áudio e de voz. Um aplicativo malicioso pode desencadear uma chamada de Binder e potencializar esta falha para dar privilégios não autorizados aos atacantes que podem então executar um código arbitrário dentro do servidor de áudio.

Aviso: Sistemas de mitigação implementados no Android Marshmallow (6,0) e no Nougat (7,0) fazem com que seja difícil explorar essa vulnerabilidade. Mas dispositivos que executam versões anteriores não têm essa vantagem.

Dá aos bandidos mais formas de atacar o dispositivo

Culpados: CVE-2016-6693, CVE-2016-6694, CVE-2016-6695

Componente Afetado: Um diretório de som

Detalhes: As vulnerabilidades são encontradas em diferentes partes do diretório SoC de som da Qualcomm. O CVE-2016-6693 está relacionado à forma como a entrada é não devidamente validada, enquanto o CVE-2016-6694 afeta a forma como o componente pode ler dados que passam pelas fronteiras do buffer . Ambos podem levar à divulgação não autorizada e ao acesso do conjunto de memória — estrutura onde a memória é alocada dinamicamente — no espaço do kernel do dispositivo. O CVE-2016-6995 é acionado quando menos memória é alocada do que o que foi inicialmente calculado pelo componente, conduzindo ao fluxo em excesso do buffer.

O lado positivo: As falhas precisam ser acionadas por meio de um processo privilegiado através da chamada IOCTL de sistema. O nível de dificuldade para explorar com sucesso estas vulnerabilidades depende de que outras vulnerabilidades são encadeadas para fazer o root do dispositivo.

Mitigação: A correção do dispositivo Android é fragmentada, portanto os usuários finais são aconselhados a praticar hábitos de segurança-consciente, como atualizar o sistema operacional assim estiver disponível —e entrar em contato com o OEM para sua disponibilidade. Também recomenda-se tomar cuidado ao instalar aplicativos apenas da Play Store oficial ou fonte confiável, bem como tomar cuidado ao abrir arquivos de remetentes desconhecidos ou suspeitos.

Mais do que apenas examinar os dispositivos móveis que passam pela rede da empresa, um processo excelente de gerenciamento de correções pode ajudar os administradores de TI a gerenciar melhor e garantir a segurança destes dispositivos, especialmente se são usados para acessar dados corporativos sensíveis.

Os usuários finais e as empresas também podem se beneficiar do uso de soluções de segurança móveis, tais como  Trend Micro™ Mobile Security for Android™ (disponível no Google Play) e as soluções de segurança móvel para empresas da Trend Micro, que fornecem camadas adicionais de segurança, protegendo dispositivos contra ataques potencializados através de vulnerabilidades, impedindo o acesso não autorizado aos aplicativos, bem como detectando e bloqueando malwares e sites fraudulentos.