09/10/2015

09/10/2015

Bug Stagefright continua a permitir o ataque a praticamente todos os Android


O bug Stagefright parece estar a ser mais difícil de erradicar do que se pensava, e continua a deixar vulneráveis praticamente todos os smartphones Android alguma vez produzidos, incluindo os que correm as versões mais recentes do sistema.

Este bug, que começou por permitir infectar Android com um simples MMS (e até levou à criação de um grupo de segurança, e a promessa de patches mensais para corrigir vulnerabilidades) continua afinal a resistir às correcções efectuadas, deixando que umAndroid continue a ficar infectado ao tocar um simples MP3 ou MP4. Algo que pode ser feito de forma bastante simples, incentivando o utilizador a iniciar essa reprodução, ou até injectando esse conteúdo directamente, no caso de estar a usar uma ligação não encriptada.

Tal como anteriormente, esta caso complica-se por se saber que haverá muitas centenas de milhões de dispositivos que nunca irão receber qualquer actualização, fazendo com que esta falha se torne extremamente atractiva para grupos que desejem explorar esse vasto manancial de "vítimas". E não me parece que seja difícil que, num prazo relativamente curto, o Google tenha que enfrentar um incidente tipo o Sasser worm do Windows, em que bastava ligar um Windows à internet para que num prazo de segundos ou poucos minutos, se ser confrontado com uma janela a dizer que o sistema ia fazer shutdown. Só que, ao contrário do Windows, o Google não tem verdadeiro controlo sobre as actualizações (ou falta delas) que a grande maioria dos fabricantes de equipamentos com Android disponibiliza para os seus produtos - embora também se tenha que reconhecer que o Google tem feito todos os possíveis por ir rectificando problemas mesmo nesses equipamentos, através dos serviços Google Play, que pode actualizar directamente através da sua Play Store.

Seja como for... há que estar atento, e consciente de que mesmo um Android com as últimas actualizações do Google poderá estar vulnerável a algo tão simples como um MP3.

Publicado originalmente no AadM

0 comments:

Enviar um comentário