Falha grave no Android ainda não foi completamente corrigida

Há pouco menos de um mês, pesquisadores descobriram um bug no Android chamado Stagefright. Agora, oito dias após o Google lançar uma correção, pesquisadores de segurança estão dizendo que há um problema com um dos patches liberados e os smartphones ainda podem estar vulneráveis.

Mesmo após a instalação do novo patch de segurança, os pesquisadores ainda conseguiram derrubar o sistema operacional de um smartphone por meio de um ataque que usava um arquivo mp4 adequadamente codificado e enviado via MMS.

Ainda não está claro se o bug pode ser explorado para execução de códigos maliciosos nos dispositivos afetados, como aconteceu durante os testes com a derrubada do sistema, mas, ao que tudo indica, a correção não será tão rápida quanto a gigante da web esperava.

Questionado sobre o resultado dos testes, o Google confirmou as conclusões dos pesquisadores e disse que um segundo patch já estava prestes a ser lançado. "Nós já enviamos uma correção para os nossos parceiros para que os usuários fiquem protegidos e usuários de dispositivos Nexus 4/5/6/7/9/10 e Nexus Player vão receber a atualização over-the-air (OTA) na atualização de segurança mensal de setembro", disse a empresa por meio de um comunicado.

Quando descoberto, o bug Stagefright foi considerado gravíssimo pelo tamanho do impacto e pela facilidade em explorá-lo, visto que o atacante necessitava apenas do número de telefone para enviar códigos maliciosos. A falha afetou 95% de todos os aparelhos com Android com versões entre 2.2 e 5.1. O bug estava escondido em uma das bibliotecas de mídia usada pelo Android para exibir e ler formatos de arquivos comuns, como PDFs.

Fonte: The Verge