Pior falha na história Android permite invasão com apenas uma mensagem
Especialistas em segurança da empresa Zimperium dizem ter descoberto a “pior vulnerabilidade do Android na história do sistema”. O grande problema desta praga é que ela se espalha por mensagens MMS, que não precisam nem mesmo ser abertas para que seu telefone seja comprometido. Ela afeta praticamente todos os smartphones com o sistema, independente da versão.
Quando a mensagem é recebida, um código é executado, dando a liberdade para que alguém mal-intencionado tome o controle do seu celular, permitindo o roubo de dados, ou monitoramento remoto, como ativação da câmera ou microfone. Na prática, um cibercriminoso poderia fazer o que quisesse com seu smartphone e suas informações.
Segundo Joshua Drake, pesquisador da Zimperium, o processo acontece antes mesmo de o usuário ser notificado de que recebeu uma mensagem, o que torna o bug ainda mais perigoso.
Tudo acontece por causa de uma vulnerabilidade no Hangouts, em um recurso criado para permitir a execução de vídeo. De forma resumida, o cibercriminoso “esconde” um malware com o vídeo e o envia para o seu número de celular. O aparelho processa a mensagem e ativa a vulnerabilidade.
Isso acontece porque o Hangouts processa instantaneamente os vídeos recebidos por MMS e os salva na galeria para facilitar a vida do usuário na hora de executá-los, mas é isso que abre a brecha para o ataque. Se você não usa o Hangouts, e utiliza o app de Mensagens padrão do sistema, a mesma falha ainda é válida, mas ela só se manifesta quando a mensagem é exibida.
Felizmente, não há relatos de pessoas afetadas pelo problema. O Google já reconheceu a falha, e classificou a falha como de “alta prioridade”, por permitir execução de código remoto e acesso local ao sistema. A empresa já está se mexendo para solucionar o problema.
A questão é como essa solução será feita. Como já se sabe, atualizações do sistema normalmente têm muitos intermediários, causando demora na distribuição de updates, isso quando os aparelhos são atualizados. No caso de uma falha grave de segurança, essa característica do Android é especialmente perigosa.
Ao mesmo tempo, o Google pode tomar o caminho de atualizar apenas os aplicativos defeituosos pela Play Store, ou atualizar o Google Play Services pela loja, que é um processo muito mais simples e com maior alcance, mas ainda não se sabe se esse método é possível.