Vulnerabilidades recém-descobertas na maneira como o Android processa arquivos de mídia podem permitir que invasores comprometam aparelhos ao enganar os usuários a visitarem páginas web maliciosas.
As falhas em questão podem levar à execução remota de código em quase todos os aparelhos que rodam Android, começando pela versão 1.0 do sistema (de 2008) até a mais recente 5.1.1, afirmam pesquisadores da empresa de segurança Zimperium em um novo relatório publicado nesta semana.
As falhas afetam a maneira como o Android processa os metadados de arquivos MP3 e MP4, e podem ser exploradas quando o sistema ou outro app que se baseia nas bibliotecas de mídia do Android abre o preview desses arquivos.
Os pesquisadores da Zimperium descobriram falhas de processamento multimídia há alguns meses em uma biblioteca Android chamada Stagefright que podia ser explorada ao se enviar simplesmente uma mensagem MMS maliciosa para aparelhos Android.
Essas falhas impulsionaram um esforço coordenado de soluções por parte das fabricantes de aparelhos que o engenheiro-chefe de segurança do Android, Adrian Ludwig, chamou de “o maior update único de software no mundo”. Também contribuiu para que Google, Samsung e LG se comprometessem a updates de segurança mensais a partir de então.
Uma das falhas recém-descobertas pela Zimperium fica localizada em uma biblioteca importante do Android chamada “libutills” e afeta quase todos os aparelhos rodando versões do Android anteriores ao Lollipop (5.0). A vulnerabilidade também pode ser explorada no Android Lollipop (5.0 – 5.1.1) ao se combinar com outro bug encontrado na biblioteca Stagefright.