Falha no Android ameaça milhões

cracker.jpg

À medida que os smartphones assumem o papel de assistentes pessoais eletrônicos, os malfeitores dedicam cada vez mais tempo a eles. E, como quase 80% dos equipamentos vendidos usam Android, essa infelizmente é a plataforma mais atacada. Ontem foi divulgada uma vulnerabilidade no tratamento de mensagens multimídia conhecidas como MMS (do inglês multimedia messaging service, serviço de mensagens multimídia) que põe em risco quase todos os usuários do sistema no mundo.

Mais conhecidas como “SMS multimídia” (ou “torpedos multimídia”), essas mensagens deveriam ser a evolução natural dos SMS presentes em qualquer celular ou smartphone. Contudo, como elas eram pouco práticas, hoje foram praticamente substituídas por serviços mais versáteis (como o Whatsapp, por exemplo).

Como os anexos multimídia são pré-processados no momento em que chegam, se chegar uma MMS com um vídeo contendo código malicioso, o código é executado imediatamente e o remetente passa a ter um grande controle sobre aparelho. O que impressiona neste caso é que não é necessária a intervenção da vítima (o dono do aparelho): o código é executado antes que seja tocado o sinal de “nova mensagem”. Se o vídeo for enviado à noite (quando a maioria das pessoas está dormindo e os celulares estão no modo silencioso sendo carregados), o cibercriminoso passa a controlar o aparelho, apaga a mensagem recebida e passa a controlar o nosso aparelho sem que notemos.

O Google já anunciou que corrigiu o problema, mas é possível que demore bastante antes que a correção chegue aos nossos aparelhos: os fabricantes normalmente demoram bastante nesse processo. Se a Apple, que tem um número limitado de modelos coexistindo (todos com arquitetura e sistema operacional bem conhecidos), levou um mês para corrigir uma falha que ocorreu no iOS há algum tempo, imagine com o Android, que tem dezenas de modelos, de vários fabricantes diferentes, cada um customizando o sistema operacional de forma diferentes…

Por sorte, no Brasil, as MMS não são muito usadas (principalmente porque as operadoras cobram mais caro por elas) exceto quando mandamos mensagens de texto que excedem o limite de 140 caracteres. Portanto, uma medida paliativa que podemos tomar é desabilitar o download automático de anexos multimídia nos aplicativos de mensagens instantâneas (SMS e MMS).

Como os passos mudam um pouco de fabricante para fabricante (e de modelo para modelo), veja abaixo reproduções das telas que devem ser seguidas, em um Moto G, para alterar a configuração no Hangouts e na aplicação padrão, o Messenger (ou Mensagens):

android502_mms_hangouts.pngandroid502_mms_messenger.png

Atenção: Isso não corrigirá a vulnerabilidade, mas para que o ataque seja bem sucedido, será necessário executar o vídeo que veio anexo à mensagem, o que nos dá um pouquinho mais de segurança…

Para quem quiser mais detalhes, sugiro:

Um comentário sobre “Falha no Android ameaça milhões

Deixe um comentário: