Stagefright 2. Pela segunda vez, uma vulnerabilidade ameaça os dispositivos com o sistema Android. Segundo a Zimperium, abrir uma música em MP3 é o suficiente para comprometer a segurança do aparelho. As estimativas apontam para que mais de um milhão de smartphones estejam em risco.
Em julho, os utilizadores do Android ficaram em pânico com o Stagefright, considerado a pior falha de segurança na história do sistema operativo lançado pelo Google.
Agora, diz a empresa de segurança Zimperium, está a circular o Stagefright 2, a nova técnica de explorar uma vulnerabilidade nos dispositivos com Android.
De acordo com o relatório da Zimperium, divulgado no final desta semana, a falha de segurança permite que um hacker aceda e controle remotamente ao código em quase todos os aparelhos com Android, começando pela versão 1.0 do sistema operativo (lançada em 2008) e terminando na 5.1.1, a mais recente 5.1.1.
O problema está na forma como o Android processa os ficheiros de media, como os populares MP3 (audio) e MP4 (audiovisual), que pode ludibriar o dispositivo para que este aceda a sites com conteúdos maliciosos.
E o mais grave disto tudo, alertou ainda a empresa, é que o utilizador pode não fazer nada e ainda assim ter o aparelho comprometido: basta que receba uma música por uma app (como o Whatsapp) que descodifique de imediato os metadados (para apresentar o ‘preview’ do que foi recebido).
A vulnerabilidade está alojada na biblioteca de ficheiros ‘Libutills’, disponível nas versões do Android anteriores ao Lollipop (5.0), mas é capaz de atuar em conjunto com a falha de segurança encontrada na biblioteca ‘Stagefright’ e que deu origem (e nome) ao pânico tecnológico do ano.
O Stagefright, descrito como “a pior vulnerabilidade do Android de todos os tempos”, obrigou os grandes rivais do mercado a juntarem forças: Google, Samsung e LG comprometeram-se a disponibilizar um update de segurança todos os meses.
As estimativas apontam para que o Stagefright 2 coloque mais de um milhão de smartphones em risco. O Google vai disponibilizar uma correção a 5 de outubro.