Em junho houve um grande furor quando descobriram uma vulnerabilidade bem séria na biblioteca stagefright do Android que afetou por volta de um milhão de dispositivos em todo o mundo ( e , diga-se de passagem, continua afetando já que a maioria dos fabricantes ainda não foi capaz de soltar uma atualização para resolver o primeiro problema ).

A vulnerabilidade era e é, bem séria, pois a partir de uma mensagem de texto ( ou até algum vídeo enviado via Whatsapp ou outro programa que consiga enviar automaticamente o arquivo de mídia para o processamento automático da biblioteca stagefritght ) .

O Google vem fazendo um trabalho bem sério de resolução do problema mas isto parece não ser o caso dos seus parceiros, ou seja, fabricantes.

E se já era preocupante imaginar que um simples arquivo de vídeo poderia causar o problema, parece que a pedra que eu já havia cantado quando conheci a vulnerabilidade não era simples chute.

Pesquisadores descobriram novas maneiras de explorar a falha desta vez com arquivos mp3 e mp4 falsos.

Os últimos erros foram descobertos por Joshua Drake da Zimperium zLabs que também encontrou a falha original. Drake diz que as últiamas falhas que são encontradas na estrutrua de playback da biblioteca Stagefright do Android afeta quase todos os dispositivos Android.

Ou seja, a falha poderia ser ativada simplesmente após uma pessoa visualizar um vídeo ou música que tenha sido preparado para explorar este problema.

Este ataque é um pouco diferente do primeiro ataque a biblioteca pois permitia que ele acontecesse sem o seu conhecimento. Neste caso em questão a sua intervenção, ou seja, tocar o vídeo é necessário, mas, mesmo assim ele pode tranquilamente ser administrado ou efetuado por uma pessoa dentro da sua rede WiFi.

O Google novamente prometeu que as correções a estas vulnerabilidades serão disponibilizadas no dia 5 de outubro, que é quando chegam a atualização para os Nexus.

Em compensação, a empresa já forneceu aos parceiros o patch que corrige o problema mas, resta saber quando iremos realmente ter estas correções chegando aos nossos dispositivos já, que, como eu ressalto sempre, muitos fabricantes ainda são incapazes de fornecer o Lollipop para os dispositivos de sua linha.

Via MotherBoard