Falha no Android afeta 950 milhões de aparelhos e permite execução de código malicioso

Uma falha no Android divulgada pela Zimperium nesta segunda-feira (27) permite que hackers acessem o dispositivo só com uma mensagem de texto (MMS). Semelhante à falha no iOS, essa vulnerabilidade no Android se aproveita do download automático de mídia no Hangouts, afetando em torno de 950 milhões de dispositivos.

Mas calma, você não está (tão) inseguro assim. De certa forma, a falha, batizada de Stagefright, precisa de algumas condições específicas para acontecer. Primeiro, um hacker deve enviar para um Android um vídeo com um malware via MMS e o usuário deve receber a mensagem pelo Hangouts.

IMAGEaHR0cHM6Ly90ZWNub2Jsb2cubmV0L3dwLWNvbnRlbnQvdXBsb2Fkcy8yMDE1LzA3L2FuZHJvaWQtZmFsaGEtc21zLTcwMHgzNjUucG5n

A partir daí, como o Hangouts baixa as mídias que você recebe antes mesmo de você visualizar a mensagem, o vídeo malicioso já estará no seu armazenamento interno e dará acesso aos seus arquivos, câmera, microfone e todo o resto do seu telefone. Não deixa de ser uma falha muito séria, já que o usuário não precisa clicar em um link para a vulnerabilidade ser explorada, por exemplo.

Joshua Drake, vice-presidente de pesquisas em plataforma e exploração na Zimperium, afirma que até o aplicativo de SMS padrão no Android pode ser explorado. Ele, ao contrário do Hangouts, só salva a mídia quando o usuário clica na mensagem, mas continua não sendo necessário executar o vídeo.

Dentre os 950 milhões de dispositivos afetados está a maioria dos Androids com versão 2.2 ou superior. Até a versão 4.3 Jelly Bean a falha é mais grave, já que é difícil que dispositivos abaixo dessa versão sejam atualizados futuramente. O Nexus 6 não tem esse problema de demora nas atualizações, mas ainda assim continua parcialmente vulnerável (algumas falhas foram corrigidas e outras não), enquanto o Nexus 5 ainda está totalmente inseguro.

IMAGEaHR0cHM6Ly90ZWNub2Jsb2cubmV0L3dwLWNvbnRlbnQvdXBsb2Fkcy8yMDE0LzExL2FuZHJvaWRfNV9jb3Zlci03MDB4MzUwLmpwZw==

Apesar de tudo, Joshua não acredita que haja hackers explorando a falha (ainda). Ele chegou a reportar a vulnerabilidade para o Google em abril, enviando inclusive instruções de como consertá-la. O Google aceitou suas correções, mas ainda há aquele processo demorado de atualização das diversas versões do sistema, modificado pelas fabricantes (que já foram notificadas).

Diferentemente da última falha no iOS, essa vulnerabilidade no Android não pode ser explorada por qualquer um, bastando apenas enviar um SMS; é necessário um conhecimento mais avançado. Por outro lado, como só produtos da Apple rodam iOS, é mais fácil para a fabricante lançar uma atualização rápida que corrija a falha ― e do mesmo jeito demorou 1 mês. Não é assim com as milhares de modificações de fabricantes no sistema do Google.

No caso do Android, o usuário precisa, acima de tudo, parar de usar o Hangouts como cliente de mensagens de texto ― a partir do Nexus 5, ele vem como padrão, enquanto nos outros Androids (até da Motorola), o padrão continua sendo o Mensagens. Se você quiser se prevenir, eu recomendo desativar o download automático de MMS no Mensagens ou Messenger, outro app de mensagens de texto do Google.