A CVE-2016-3862 é uma vulnerabilidade de execução remota de código que afeta a maneira como as imagens  são utilizadas por certos aplicativos Android quando analisam os dados EXIF.

Como você pode ler acima logo nas primeiras linhas do pos a coisa não anda boa para o nosso sistema operacional, pois uma pequena imagem aparentemente inofensiva nas redes sociais ( ou até sites porn, que são os que mais geram este tipo de falha ) podem causar problemas nos nossos dispositivos móveis.

As últimas atualizações de segurança do Google resolveram as vulnerabilidades do Quadrooter que estavam ameaçando pelo menos 900 milhões de aparelhos , mas temos agora um zero day novo que permite que uma imagem possa gerar problemas nos aparelhos Android.

A falha , CVE-2016-3862 é uma vulnerabilidade de execução remota de código dentro do mediaserver. Ela afeta a maneira como as imagens utilizadas por certos aplicativos analisam os dados EXIF incluídos nas imagens.

“O Formato de arquivo de imagem Exchangeable (oficialmente Exif, de acordo com as especificações JEIDA / JEITA / CIPA) é uma norma que especifica os formatos de imagens, som e tags auxiliares usados por câmeras digitais (incluindo smartphones), scanners e outros sistemas de manipulação de imagens e arquivos de som gravados por câmeras digitais. ” Wikipedia.

A falha foi descoberta pelo pesquisador de segurança Tim Strazzere da empresa SentinelOne que explicou que a falha pode ser explorada por meliantes para assumir controle total do dispositivo sem que a vítima tome conhecimento.

A Forbes disse que o pesquisador deixou claro que o atacante pode fazer com que o usuário abra um arquivo pelo GChat ou Gmail que pode explorar a falha e executar o código remoto e a partir daí, podem instalar um malware ou um controle qualquer sem que o usuário tome conhecimento.

Tal qual no Stagefright, em que um simples SMS causava um problema enorme ao dispositivo,  a vítima nem precisa clicar na imagem ou link já que o que causa o problema é o que foi analisado pelo dispositivo, conforme a CVE-2016-3862.

O Android nas versões  4.4.4 até 6.0.1 são afetados pela vulnerabilidade CVE-2016-3862, mesmo aqueles que estejam com a última atualização.

O Google já disponibilizou o patch mas infelizmente você só irá recebê-lo quando o seu fabricante disponibilizar a mesma em uma de suas atualizações de segurança. Desenvolvedores de ROMs devem entregar a atualização mais rapidamente, portanto, se você tem um dispositivo antigo que não mais será atualizado, dê uma olhada para ver se consegue se proteger melhor com uma ROM não oficial, como a CyanogenMod.

Strazzers foi recompensado pelo Google em US$4000,00 e acrescentou mais US$4000,00 pois ele havia prometido dar US$8000 para o Project H Design para meninas de 9 a 13 anos.

Resumo, todos sairam ganhando com esta descoberta.

Via Security Affairs