Parece algo saído de algum filme da Sessão da Tarde: ansiosos para conseguir os detalhes assombrosos que o cara mau esconde, os mocinhos hackeiam seu telefone armados apenas com o número. Sem acesso físico ao telefone, sem fazer a vítima clicar em algum programa obscuro; apenas uma mensagem rápida enviada para seu telefone, e bam – eles conseguem entrar.
Infelizmente, isso é, essencialmente, uma nova forma de hackear Androids que funciona, de acordo com pesquisadores. E o que é pior: a grande maioria dos dispositivos são vulneráveis.
Ataque silencioso
Pesquisadores da Zimperium Mobile Labs, nos EUA, onde a artimanha foi descoberta pelo vice-presidente de Plataforma de Pesquisa e Exploração Joshua Drake, afirmam que até “95% dos dispositivos Android” são vulneráveis. Para iniciar o ataque, o hacker envia uma mensagem de vídeo maliciosa e modificada. A mensagem é capaz de contornar as medidas de segurança do Android e executar um código remoto – nesse ponto, os invasores têm acesso quase completo a seu dispositivo, seu armazenamento de dados, sua câmera, microfone, etc.
O truque está sendo chamado de “Stagefright” (em tradução literal, algo como “medo do palco” – aquela sensação de terror que boa parte das pessoas sente ao ter que falar ou se apresentar em público). “Stagefright” é também a biblioteca de mídia que o Android usa para processar os vídeos e é o pedaço de código que está sendo explorado aqui.
Em muitos casos, o dispositivo começa a processar a mensagem sem que o utilizador de fato a abra manualmente. Nestes casos, receber a mensagem é o suficiente. Pior ainda: um invasor pode teoricamente eliminar a mensagem sozinho quando executa o ataque, deixando para trás apenas uma notificação que a maioria de nós rapidamente deixaria para lá, sem nenhuma ideia de que o dispositivo está sob o controle de outra pessoa.
Afirma-se que o bug foi introduzido na versão v2.2 do Android, mas a Zimperium o testou com sucesso em aparelhos mais novos, como a versão mais recente, o Android 5.1.1. Dispositivos que executam uma versão mais antiga que a 4.1 são os mais vulneráveis.
O (pouco) que dá para fazer pelo seu Android
A boa notícia é que o erro pode ser corrigido com uma atualização over-the-air (quando o usuário recebe a possibilidade da atualização assim que abre determinados softwares), e o Google já tem um patch pronto para ser utilizado.
A má notícia é que cabe aos fabricantes dos dispositivos enviar o patch, e, bem, isso pode demorar um pouco. Se você tem um telefone antigo que não é atualizado faz tempo – como é o caso de quase 11% dos celulares com Android ativos – é possível que ele nem sequer receba.
Não está claro se os usuários do Android podem fazer alguma coisa para se protegerem. Quando perguntado sobre o assunto, um porta-voz do Google respondeu o seguinte: “Agradecemos a Joshua Drake por suas contribuições. A segurança dos usuários do Android é extremamente importante para nós e por isso respondemos rapidamente e atualizações já foram fornecidas a parceiros que podem aplicá-las a qualquer dispositivo”.
Ele continua: “A maioria dos dispositivos Android, incluindo todos os dispositivos mais recentes, têm múltiplas tecnologias que são projetadas para tornar sua invasão mais difícil. Dispositivos Android também incluem uma aplicação criada para proteger os dados do usuário e outros aplicativos no dispositivo”. [Tech Crunch]