Duas novas falhas de segurança para usuários dos dispositivos Android foram confirmadas nesta sexta-feira, 2, pela empresa de cibersegurança móvel Zimperium zLabs. Elas compõem o que está sendo chamado de Stagefright 2.0 e podem afetar até 1 bilhão de handsets com o sistema operacional do Google.
O Stagefright 1 permitia aos hackers tomarem o controle de um smartphone por meio de uma mensagem MMS infectada. Já o Stagefright 2 usa como porta de entrada arquivos de áudio (mp3) e vídeo (mp4). Os ataques podem acontecer por meio de páginas falsas na internet ou aplicativos.
Intitulada “in libutils”, a primeira falha é suscetível para celulares a partir do Android (1.0), lançado em 2008. Ela é complementada por uma segunda vulnerabilidade, a “in libstagefright”, que consiste em um mecanismo para acioná-la em smartphones novos – incluído aqueles que devem receber o Android Marshmallow (6.0). Joshua J.Drake, vice-presidente de pesquisa da Zimperium zLabs, disse em uma postagem no blog da empresa que o Google foi alertado.
O gigante da Internet publicou na página do grupo de segurança do Android que deve lançar uma atualização de segurança (patch) para corrigir as aberturas no próximo dia 5 de outubro para os smartphones Nexus e trabalha com fabricantes e operadoras de telefonia móvel para lançar rapidamente a correção aos demais usuários. “Esse assunto é considerado crítico, devido à possibilidade de controle remoto do aparelho”, informou o Google por meio do fórum Android Security Updates.
Cronologia e cautela
A falha foi descoberta por Drake no dia 15 de agosto. O executivo da empresa de cibersegurança considerou “rápida” a resposta do Google para remediar o problema. De acordo com outra companhia de segurança, a Symantec revelou que operadoras e fabricantes receberam o patch no dia 10 de setembro. Até a atualização ser lançada, a Symantec aconselha aos usuários do Android procederem com cautela ao acessar sites na internet por meio de navegadores nos smartphones e ao abrirem vídeos e músicas não solicitadas.