Stagefright 2.0: O Android volta a estar debaixo de fogo
Mais de 1.400 milhões de dispositivos Androids vulneráveis
O Android é o sistema operativo móvel mais popular do mundo. Cerca de 80% dos smartphones correm Android e daí este ser um também dos sistemas operativos móveis mais “apetecíveis” para explorar, no se que refere à segurança.
Depois de descoberta uma primeira vulnerabilidade na biblioteca Stagefright do Android, foi agora descoberto uma segunda vulnerabilidade na mesma biblioteca e que coloca em risco mais de 1.400 milhões de dispositivos em todo o mundo
De acordo com a empresa de segurança Zimperium zLabs, foi detectada uma nova vulnerabilidade no sistema operativo Android, que afecta mais de 1.4000 milhões de dispositivos em todo o mundo.
Esta vulnerabilidade (que na prática são dois bugs), já baptizada de Stagefright 2.0, pode ser facilmente explorada com um simples “preview” de um ficheiro MP3 ou MP4 previamente modificado e que permitirá a executação de comandos no sistema.
Meet Stagefright 2.0, a set of two vulnerabilities that manifest when processing specially crafted MP3 audio or MP4 video files. The first vulnerability (in libutils) impacts almost every Android device since version 1.0 released in 2008. We found methods to trigger that vulnerability in devices running version 5.0 and up using the second vulnerability (in libstagefright). Google assigned CVE-2015-6602 to vulnerability in libutils. We plan to share CVE information for the second vulnerability as soon as it is available.
Como é que pode ser atacado?
A vulnerabilidade reside no processamento de metadados associados aos ficheiros MP3/MP4 modificados. Basicamente o atacante tentará convencer o utilizador a visitar um determinado site (que é controlado pelo próprio atacante) e a descarregar um ficheiro infectado (que também poderá chegar por e-mail).
Depois do utilizador executar o mesmo ou simplesmente fazer o preview, são despoletadas um conjunto de acções que comprometem o sistema.
A Google já tem conhecimento de tal vulnerabilidade e segundo a informação da Zimperium a empresa das pesquisas foi notificada em 15 de Agosto.
Fonte: Zimperium zLabs via Motherboard
Este artigo tem mais de um ano
Proponha uma correção, faça uma sugestão
Loading ...
Android e bugs no compute 🙂
sim o IOS nao é,por isso é que lancaram o iphone a 1semana com o IOS9 e ja sofreu duas actualizacoes, lol ….
Já no caso do android passam anos e anos e essas actualizações nunca chegam. 😮
és daqueles que só faz rir o povo. mais nada
Não, não é… é a verdade…
Depois e comprares o telemóvel, levas com um pontapé no rabo, e nunca mais querem saber dos problemas que tem… fica assim…
Tu nem rir me fazes. 🙂
Pois, o meu 4s ao menos recebeu as atualizações, já o meu Galaxy S4 nem ver…
percebes que isso uma vantagem? Que nenhum programa é lançado sem bugs? O importante é que sejam corrigidos rapidamente.
É bom sinal, quer dizer que vão corrigindo o que não está bem.
Um LG que tenho aqui com cerca de 3 anos teve UMA atualização.
Um tablet Asus de Agosto de 2014 teve 4/5, sabes o que aconteceu quando foi para ao 5.0? Estou desde Abril à espera que a Asus corrija o bug do relógio que atrasa 5 minutos por hora!!!
Notei alguns bugs no iOS 9 mas desde que tratem disso num prazo aceitável não me chateio com isso.
Aqui está-se a falar de vulnerabilidades e como se sabe o ponto fraco do Android é a fragmentação e a falta de atualizações por parte das marcas/operadoras, logo a maioria das pessoas está em risco.
LOL, pois é… bugs são resolvidos… dos mais pequenos aos maiores.
Vais ver quando é que chegam as atualizações para compor este bug…
Eu digo-te: NUNCA
Nem e preciso atualizações… Quem e que vai baixar um ficheiro desconhecido… Lê o artigo primeiro…
“Quem é que vai baixar um ficheiro desconhecido” – a pergunta é ironia ou é naïve?
Basta mandar uma MMS para infectar.
Não generalises. Se queres comparar compara apenas os nexus. O meu oneplus sempre recebeu updates quando necessário… Fiquem lá com o iPhone chato. Já tive um e nunca mais……que grande seca
Os nexus recebem muito pouco tempo de updates, e a más horas!
O nexus 4 já não vai ter mais updates (e foi o que durou mais!).
Deves ter tido um iPhone, deves… coitado…
Nem merece resposta…. Tive um iPhone 3G e tenho neste momento um mini ipad retina . Se quiser mando lhe uma foto do meu iPhone todo desmontado quando quis alterar a capa traseira
Estás a gozar só pode. O CM12 só apareceu em junho deste ano e o oxygenos nunca mas teve um actualização para o oneplus one…
marco mais valia não teres dito nada lol
O Android em si já é uma vulnerabilidade.
Ora aí está uma grande verdade! É um virus mobile!
Eu quero um iPhone!
O que não falta é oferta para todas as carteiras. 🙂
Quando dizes “para todas as carteiras” estás mesmo a falar a sério?
Sim estou.
Desde o iPhone 4S até ao 6S.
🙂
Ora bem, tenho um Samsung s2(o meu 2 telemóvel) ha 4 ou 5 anos. Ja mudei 1500 vezes de rom. Faço tudo igual aos outros. 0 vírus que hoje. 0 dados comprometidos. Nunca foi preciso usar progama para prevenir isso. E como aquelas ofertas de iphones no facebook, só vai la por os dados quem quer.
“o atacante tentará convencer o utilizador a visitar um determinado site”… OK!
qualquer coisa que seja phishing…
Ou seja, se antes de passar os ficheiros MP3 do PC para o telemóvel, o antivírus do mesmo não detectará os infectados?
Mais uma vez, a culpa final é do utilizador.
“Mais uma vez, a culpa final é do utilizador.”
Sim, tens razão. Mas nunca mais me esqueço das palavras de um Prof que tive em Programação: “quando programarem, façam-no como se o utilizador final fosse um burro”.
existe um erro penso eu , 1.400 milhões no titulo e mais abaixo aparece 1.4000 milhões .
AH Cá está, a notícia sobre o LG V10 e o Urbane 2nd Gen… Oh wait… Afinal é só mais um post a falar mal do Android, nevermind.
Desde quando noticiar um problema é “falar mal”?
Acho que existe por aqui muita confusão entre as pessoas, normalmente porque se deixam levar pela guerra Apple/Google/Microsoft (e colocado por ordem alfabética para não ofender).
Aqui a noticia é sobre Android, e não sobre Google ou Apple. Quando o SO (Android, IOS, Windows Phone e NÂO GOOGLE(ou LG,Samsung,Sony)/APPLE/MICROSOFT) tem um bug, em regra, a google é mais rápida que a Apple a corrigir, e a Microsoft mais do que a Google, sendo que o próprio android é opensource e além da Google, existe uma comunidade muito forte associada.
Se depois os fabrigantes não realizam essas correções ou atualizações, a culpa não é do Android. Não confundam as coisas. Se o fabricante do vosso equipamento não atualiza do SO, então DEIXEM de comprar equipamentos desse fabricante. A Samsung não atualiza o Android em nenhum equipamento. Todos sabem isso, então porque compram Samsungs e depois quexam-se que não há atualizações? E quem diz Samsungs diz LG, Sony, Asus, BQ, e todos os restantes…
Se querem um equipamento com atualizações, então comprem um que vos garanta isso, e podem ser equipamentos Apple, Google, OnePlus, Xiami, Motorola, BQ (com o Android One), de uns chineses quaisquer ou até da LAIQ, empresa portuguesa que faz telemoveis, pois sempre podem ir lá bater à porta a pedir atualizações pois é perto, durante o periodo de garantia (2 anos), pelo menos.
@Faria
“A Google é mais rápida que a Apple a corrigir”
Acho que estás redondamente enganado! A Google foi notificada a 15 de Agosto, e até agora nada! 1 mês e meio! Ainda por cima falhas graves!
Olha a Apple com o iOS 9 lançado no dia 16 de Setembro e já teve dois updates! Estamos no dia 2 de outubro, duas semanas depois! “APENAS” para corrigir bugs, quanto mais falhas de segurança! Concordo em parte com o resto da tua afirmação, a Google não tem culpa das fabricantes não corrigirem as falhas, mas a Google também chega muito atrasada nisso!O que a Google deveria fazer era OBRIGAR as fabricantes a PELO MENOS corrigir as falhas de segurança! E isso ela poderia fazer, mas infelizmente não faz! Temos TODOS muita pena!
Abraço!
@Brasão,
situações como esta são muito comuns. Não sei se te recordas, mas a Apple teve um bug durante 2 anos no seu OS, e não foi por falta de avisos, mas sim quer pela complexidade de resolução, quer pela gravidade da mesma, ou mesmo pela falta de vontade em resolver.
Em relação aos dois updates em duas semanas, isso pode ser interpretado de duas maneiras. Ou realmente eles são muito rápidos a resolver bugs, ou então não efetuaram os testes em condições, o que numa situação de hardware controlado alguns dos bugs existentes não podem existir. Uma coisa é um OS a correr em 1000 equipamentos diferentes, em que não consegues prever comportamentos. Outra coisa é correr numa dúzia completamente controlada onde todo o hardware é escolhido a dedo.
Agora é sabido, e não sou eu a dizer isto, mas sim qualquer forum norte-americano onde eles são os maiores consumidores Apple, que a apple ignora os clientes.
O Android padece nos equipamentos móveis do mesmo problema que a Microsoft com os pc’s. Centenas de combinações de hardware, fabricantes onde cada um faz o que lhe dá na telha, o que provoca bugs atrás de bugs.
Mas é preciso relembrar que existem jailbreaks e falhas de segurança no IOS efetuados à custa de bugs em aplicações de terceiros.
Nem sempre a culpa é dos produtores de OS.
Se a Google poderia obrigar os fabricantes? Não sei se o consegue, ou se o quer, porque a Google ganha por cada equipamento novo que saia com o seu OS, logo o que a Google quer é que as pessoas troquem de telefone a cada 3 meses, e não que atualizem as coisas. Se perguntas se isto é correto digo-te que ética e moralmente não, mas financeiramente sim.
Sendo o Android baseado em kernel Linux, as atualizações criticas deveriam ser instantâneas, pois não dependem, em regra, do hardware existente. Contudo esse conceito de atualizações em equipamentos moveis não foi implementado como existe no mundo dos pc’s. É esperar que com a proliferação de equipamentos móveis isso mude, pois neste momento é onde é mais fácil os ataques, e não em pc’s
A google não pode obrigar….. acho que devia ler no Wikipédia o que significa OpenSource.
Passa por lá e ao menos distingue Android AOSP e GMS.
Mas o problema é outro – nenhum sistema operativo foi deixado ao “deus dará” como o Android.
Indica lá outro sistema operativo – Windows, WP, OS X, iOS, distribuições Linux, etc – em que se for preciso fazer chegar a todos os equipamentos uma actualização do sistema operativo, para corrigir uma vulnerabilidade – não haja meio de a fazer chegar?
Com exceção dos Nexus, o que se passa no Android é uma aberração que deixa os utilizadores em perigo.
+1
O que é que interessa culpa é do Android (leia-se da >Google) ou do operador?
O que interessa é o qiz o Ars Technica: “O ecossistema Android não pode lidar com a segurança , e não vai mudar até que seja tarde demais”
http://arstechnica.com/gadgets/2015/08/waiting-for-androids-inevitable-security-armageddon/
Este é mais um exemplo de que só cai quem quer. Vejam de onde tiram as coisas. É sempre pelo mesmo motivo: sites manhosos, “app stores” não oficiais, etc etc. E não é só em Android, por isso deixem-se das guerrinhas estúpidas que a Apple não está melhor nos seus equipamentos (até os smartwatches as têm também). E já deu para reparar que temos mais um a pensar que consegue provar que a Apple é a melhor. Ou será que mudou de nome? Uma sugestão para o pplware: usarem o disqus para os comentários. Penso que seria mais fácil a sua gestão devido às “ferramentas” que possui.
Aguardando o Stagefright 3.0.
Pode estar muito limitado a nível de apps, o que afecta o numero de utilizadores e a atractividade dele, mas ainda assim opto por um Windows Phone (Tambem tenho um android e um iPhone, não sou nenhum fanboy XD).
Não estou a perceber porque o pessoal está a comparar isto com os produtos da Apple. Que eu saiba a Apple tem uma falha que nunca consegue corrigir que se chama Jailbreak 😉 E não venham dizer que não é nenhuma falha grave de segurança…… Eu lembro-me no meu Iphone que quando fazia Jailbreak aquilo abria em backgroud processos um pouco duvidosos……….
Resumidamente, o número de equipamentos vulneráveis é para cima de 1.100 milhões.
– No Stagefright 1 os equipamentos Android são infectados através de um MMS. Foi divulgado o código desta vulnerabilidade.
– No Stagfright 2 o equipamento Android são infectados ao tocar um simples MP3 ou MP4. O código não foi (ainda) divulgado.
O Stagefright 3 não deve tardar, porque as vulnerabilidades não são corrigidas na maior parte dos equipamentos.
Uma das fontes do post é o blogue “Motherboard”, tendo o e seu autor escrito na altura do Stragefright 1:
“Goodbye, Android”
“A Google continua a ter pouco controlo sobre a actualização do software, e os utilizadores do Android estão basicamente à mercê dos seus fabricantes e operadores.
(…) Ou pode fazer root ao seu smartphone e instalar a excelente e mais e instalar-lhe o excelente e mais rapidamente actualizável sistema operativo de base Android-baseado o CyanogenMod. Esta é uma boa alternativa, mas não é trivial instalar o CyanogenMod, e as actualizações para certos smartphones depende de voluntários, por isso, novamente, podem não as ter tão rapidamente como gostariam.
Ou, finalmente, podes seguir em frente, mudar para a Apple e comprar um iPhone.
Apesar de o meu antigo “eu” me odiar, vou escolher a última opção”
Lorenzo Franceschi-Bicchierai entusiasta do Android desde sempre e jornalista sobre segurança
P.S. No link do post acima, recomenda que, ao menos, quem compra Android – compre um Nexus – coisa que qualquer pessoa de bom senso fará.
http://motherboard.vice.com/read/goodbye-android
Hehehehe tu fazes me mesmo rir………..