Muito está se falando sobre a falha que apareceu agora da libStagefright mas, como sempre temos uma visão bem detalhada sobre o caso, principalmente porque eu como editor do site tenho uma atuação bem próxima da área de Segurança da Informação.

Como todos sabem, e eu não vou ficar detalhando muito pois já falamos sobre isto em diversos posts, foram encontrados alguns problemas adicionais em torno de arquivos de áudio e vídeo na biblioteca libstagefright que de acordo com o próprio Google, eles já tem uma correção em andamento ( que possivelmente vai chegar muito tardiamente para muitos usuários ).

Tivemos uma série de problemas nos últimos dois meses relacionados a biblioteca libStagefright que ficaram popularmente stagefright já que no fim, tudo é relacionado a esta biblioteca e foi descoberto pelo pessoal da Zimperium.

Aliás, foi o pessoal da Zimperium que descobriu também esta nova falha , que recebeu o nome de Stagefright 2.0 e está relacionada a forma como a biblioteca do Android processa arquivos mp3 e mp4 e, que, através desta falha, podem ser usados para executar códigos maliciosos dentro do Android.

O que é a falha Stagefright 2.0 ?

De acodo com Zimperiu há uma série de vulnerabilidade recém-descobertas que permitem que um atacante disponibilize para um smartphone ou tablet um arquivo que se parece com um mp3 ou mp4. Assim, quando os metadados do arquivo forem processados  pelo sistema operacional ele poderá executar um código malicioso no sistema operacional .

No caso de um ataque man in the middle ou um site construído especificamente para executar este tipo de arquivo simplesmente o arquivo ( e seu código ) podem ser executados sem que o usuário nem tenha noção de que isto aconteceu.

A Zimperium confirma que conseguiu execução remota do código e levou ao conhecimento do Google o problema no dia 15 de agosto.

Em resposta às CVE-2015-3876 e CVE-2015-6602 o Google já está trabalhando em uma correção que deve, pelo menos ao que já foi divulgado, chegar aos dispositivos Nexus no dia 5 de outubro.

Meu telefone ou tablet estão afetados ?

De uma forma ou de outra, se você usa Android está afetado pela CVE-2015-6602  que se refere a uma vulnerabilidade na libutils e como a Zimperium aponta em seu documento a vulnerabilidade impacta cada dispositivo que usa o sistema operacional desde a sua versão 1.0.

Já a CVE-2015-3876 afeta cada telefone ou tablet Android 5.0 e superior, e poderia, teoricamente, ser entregue através do site ou ataque man in the middle.

Contudo é bom lembrar que não há exemplos públicos de ataques usando esta vulnerabilidade fora dos laboratórios que a Zimperium efetuou para conseguir chegar a falha em suas provas de conceito.

Embora seja possível que alguém já tenha se aproveitado de algum destes problemas o Google já está liberando o patch para os fabricantes e, pelo menos, a Zimperium ainda não publicou a falha abertamente.

Quando ela chegar ao conhecimento da comunidade hacker, sim, teremos um grande problema e exploits publicados.

O que o Google diz sobre isto ?

De acordo com um comunicado  do Google a atualização de segurança de outubro aborda ambas as vulnerabilidade e estes patches estarão sendo inseridos no código da AOSP e chegará para os usuários do Nexus em 5 de outubro, e logicamente, em todas as ROMs alternativas na mesma semana.

Quem é mais esperto deve ter notado que o Nexus 6P e o Nexus 5X já chegaram com as atualizações do dia 5 de outubro instaladas e portanto, estes dispositivos não estão passíveis de sofrerem com este problema.

As informações sobre o patch devem chegar para todos no changelog do Android Security Google Group em outubro.

Para telefones não-nexus o Google já disponibilizou a atualização de segurança de Outubro para os parceiros em 10 de setembro e muitas fabricantes já estão trabalhando rapidamente para fornecer isto para seus usuários.

Se você der uma olhada na lista de dispositivos que já receberam atualização para a última falha você terá noção do quanto isto se tornou uma prioridade para o Google e fabricantes nos últimos meses.

Como posso me proteger enquanto não chega a correção para o meu smartphone ?

Como pelo menos até o momento pouca gente terá condições de explorar a falha Stagefright 2.0 e infectar smartphones Android sem grande problema, é bom ter pelo menso alguns cuidados. Aliás, cuidados que já deveriam ser tomados independente da falha.

Assim, primeiro tenha cuidado com sites ou arquivos que esteja baixando no seu smartphone. Se for um site estranho fuja dele ou se for um arquivo recebido de um estranho ou via spam, delete-o sem executá-lo.

Evite o uso de redes WiFi públicas e, sempre, use autenticação de dois fatores na maioria dos seus serviços on line.

Se gosta de um porn, evite sites obscuros que podem trazer arquivos nocivos ou scripts a ser executados no seu smartphone.

Ou seja, as práticas padrão da web para manter o seu smartphone  e seu tablet seguros.

E finalmente, isto não é o fim do mundo

Calma, apesar de todas as vulnerabilidades na libstagefright e sua seriedade a comunicação entre a Zimperium e o Google estão bem próximas e a resolução do problema está bem rápida.

A Zimperium fez o favor de chamar a atenção do Google para este grande problema que havia no Android de demora na resolução dos problemas e isto gerou no Google o sentimento da necessidade dos patches mensais.

Em um mundo perfeito as vulnerabilidades não existiriam, mas, como não vivemos em um mundo perfeito, tenha certeza que muitas outras virão.

Assim, aceite e fique feliz que o Google está tratando isto com uma grande seriedade e os problemas estão sendo resolvidos bem rapidamente.