O Android é o sistema operativo móvel mais popular do mundo. Cerca de 80% dos smartphones correm Android mas o sistema da Google é também um dos mais vulneráveis.
Segundo especialistas da empresa de segurança Zimperium, o Android tem uma falha grave de segurança que pode ser facilmente explorada, sendo que o atacante apenas necessita de saber o número de telemóvel.
Segundo a informação avançada pela própria Zimperium, para que o ataque seja bem sucedido o utilizador do Android nem precisa de abrir qualquer anexo ou fazer o download de qualquer ficheiro, daí esta ser considerada uma falha grave.
Na prática antes do conteúdo ser guardado e disponibilizado na biblioteca multimédia, o Android faz o pré-processamento(um processo designado de Stagefright) do mesmo (criação de thumbnails, extrair metadados, etc) podendo nessa fase ser executado código malicioso.
This happens even before the sound that you’ve received a message has even occurred. That’s what makes it so dangerous. [It] could be absolutely silent. You may not even see anything
Joshua Drake da Zimperium
Mas como funciona?
Um utilizador mal intencionado criar um vídeo, esconde malware dentro desse conteúdo e enviar esse conteúdo para um número. Mal o telefone da vitima recebe essa informação (por exemplo, via app de Hangouts), são despoletadas um conjunto de acções (maliciosas) que iniciam a exploração da vulnerabilidade que permitirá ao atacante copiar dados, apagar, obter acesso ao microfone ou câmara, etc.
A Google já tem conhecimento de tal vulnerabilidade e está já a trabalhar numa solução com os vários fabricantes.