Vulnerabilidades recém-descobertas na maneira como o Android processa arquivos de mídia podem permitir que invasores comprometam aparelhos ao enganar os usuários a visitarem páginas web maliciosas.

As falhas em questão podem levar à execução remota de código em quase todos os aparelhos que rodam Android, começando pela versão 1.0 do sistema (de 2008) até a mais recente 5.1.1, afirmam pesquisadores da empresa de segurança Zimperium em um novo relatório publicado nesta semana.

As brechas afetam a maneira como o Android processa os metadados de arquivos MP3 e MP4, e podem ser exploradas quando o sistema ou outro app que se baseia nas bibliotecas de mídia do Android abre o preview desses arquivos.

Os pesquisadores da Zimperium descobriram falhas de processamento multimídia há alguns meses em uma biblioteca Android chamada Stagefright que podia ser explorada ao se enviar simplesmente uma mensagem MMS maliciosa para aparelhos Android. Essas falhas impulsionaram um esforço coordenado de soluções por parte das fabricantes de aparelhos que o engenheiro-chefe de segurança do Android, Adrian Ludwig, chamou de “o maior update único de software no mundo”. Também contribuiu para que Google, Samsung e LG se comprometessem a updates de segurança mensais a partir de então.

Uma das falhas recém-descobertas pela Zimperium fica localizada em uma biblioteca importante do Android chamada “libutills” e afeta quase todos os aparelhos rodando versões do Android anteriores ao Lollipop (5.0). A vulnerabilidade também pode ser explorada no Android Lollipop (5.0 – 5.1.1) ao se combinar com outro bug encontrado na biblioteca Stagefright.

Os pesquisadores da Zimperium se referem ao novo ataque como Stagefright 2.0 e acreditam que ele afeta mais de 1 bilhão de aparelhos.

Como o vetor de ataque anterior via MMS foi fechado nas versões mais recentes do Google Hangouts e outros apps de mensagens após a descoberta das falhas Stagefright anteriores, o método mais simples de explorar as novas vulnerabilidades é por meio de navegadores web, apontam os pesquisadores da Zimperium.

Os invasores podem enganar os usuários a visitarem sites que exploram a falha por meio de links em e-mails e mensagens instantâneas ou por meio de anúncios maliciosos exibidos em sites legítimos.

A Zimperium informou o Google sobre as falhas em 15 de agosto e planeja lançar um código de exploração como prova de conceito uma vez que a solução for liberada.

Essa solução será liberada no próximo dia 5 de outubro como parte do mais recente update de segurança mensal do Android, afirmou um representante do Google.