Android

Stagefright 2.0: O Android volta a estar debaixo de fogo

45 Comentários

Mais de 1.400 milhões de dispositivos Androids vulneráveis

O Android é o sistema operativo móvel mais popular do mundo. Cerca de 80% dos smartphones correm Android e daí este ser um também dos sistemas operativos móveis mais “apetecíveis” para explorar, no se que refere à segurança.

Depois de descoberta uma primeira vulnerabilidade na biblioteca Stagefright do Android, foi agora descoberto uma segunda vulnerabilidade na mesma biblioteca e que coloca em risco mais de 1.400 milhões de dispositivos em todo o mundo

Android_00


De acordo com a empresa de segurança Zimperium zLabs, foi detectada uma nova vulnerabilidade no sistema operativo Android, que afecta mais de 1.4000 milhões de dispositivos em todo o mundo.

Esta vulnerabilidade (que na prática são dois bugs), já baptizada de Stagefright 2.0, pode ser facilmente explorada com um simples “preview” de um ficheiro MP3 ou MP4 previamente modificado e que permitirá a executação de comandos no sistema.

Meet Stagefright 2.0, a set of two vulnerabilities that manifest when processing specially crafted MP3 audio or MP4 video files. The first vulnerability (in libutils) impacts almost every Android device since version 1.0 released in 2008. We found methods to trigger that vulnerability in devices running version 5.0 and up using the second vulnerability (in libstagefright). Google assigned CVE-2015-6602 to vulnerability in libutils. We plan to share CVE information for the second vulnerability as soon as it is available.

stagefright-2.0

Como é que pode ser atacado?

A vulnerabilidade reside no processamento de metadados associados aos ficheiros MP3/MP4 modificados. Basicamente o atacante tentará convencer o utilizador a visitar um determinado site (que é controlado pelo próprio atacante) e a descarregar um ficheiro infectado (que também poderá chegar por e-mail).

Depois do utilizador executar o mesmo ou simplesmente fazer o preview, são despoletadas um conjunto de acções que comprometem o sistema.

A Google já tem conhecimento de tal vulnerabilidade e segundo a informação da Zimperium a empresa das pesquisas foi notificada em 15 de Agosto.

Fonte: Zimperium zLabs via Motherboard

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
Stagefright 2.0

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Pai do telemóvel acha o iPhone 6s um equipamento “chato”
Artigo anterior

Pai do telemóvel acha o iPhone 6s um equipamento “chato”
O crescimento exponencial de vendas de iPhones em 8 anos
Próximo artigo

O crescimento exponencial de vendas de iPhones em 8 anos
PUB

Comentários

45

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Rui C
    Rui C

    Android e bugs no compute 🙂

    Responder
    1. Avatar de marco chapita
      marco chapita

      sim o IOS nao é,por isso é que lancaram o iphone a 1semana com o IOS9 e ja sofreu duas actualizacoes, lol ….

      Responder
      1. Avatar de Rui C
        Rui C

        Já no caso do android passam anos e anos e essas actualizações nunca chegam. 😮

        Responder
        1. Avatar de night
          night

          és daqueles que só faz rir o povo. mais nada

          Responder
          1. Avatar de Baptista Batos
            Baptista Batos

            Não, não é… é a verdade…

            Depois e comprares o telemóvel, levas com um pontapé no rabo, e nunca mais querem saber dos problemas que tem… fica assim…

          2. Avatar de Rui C
            Rui C

            Tu nem rir me fazes. 🙂

      2. Avatar de DanielC
        DanielC

        Pois, o meu 4s ao menos recebeu as atualizações, já o meu Galaxy S4 nem ver…

        Responder
      3. Avatar de Sergio J
        Sergio J

        percebes que isso uma vantagem? Que nenhum programa é lançado sem bugs? O importante é que sejam corrigidos rapidamente.

        Responder
      4. Avatar de Joao
        Joao

        É bom sinal, quer dizer que vão corrigindo o que não está bem.

        Um LG que tenho aqui com cerca de 3 anos teve UMA atualização.
        Um tablet Asus de Agosto de 2014 teve 4/5, sabes o que aconteceu quando foi para ao 5.0? Estou desde Abril à espera que a Asus corrija o bug do relógio que atrasa 5 minutos por hora!!!

        Notei alguns bugs no iOS 9 mas desde que tratem disso num prazo aceitável não me chateio com isso.

        Aqui está-se a falar de vulnerabilidades e como se sabe o ponto fraco do Android é a fragmentação e a falta de atualizações por parte das marcas/operadoras, logo a maioria das pessoas está em risco.

        Responder
      5. Avatar de Baptista Batos
        Baptista Batos

        LOL, pois é… bugs são resolvidos… dos mais pequenos aos maiores.

        Vais ver quando é que chegam as atualizações para compor este bug…

        Eu digo-te: NUNCA

        Responder
        1. Avatar de ricardo M.
          ricardo M.

          Nem e preciso atualizações… Quem e que vai baixar um ficheiro desconhecido… Lê o artigo primeiro…

          Responder
          1. Avatar de Zaark
            Zaark

            “Quem é que vai baixar um ficheiro desconhecido” – a pergunta é ironia ou é naïve?

          2. Avatar de Baptista Batos
            Baptista Batos

            Basta mandar uma MMS para infectar.

        2. Avatar de David.pt
          David.pt

          Não generalises. Se queres comparar compara apenas os nexus. O meu oneplus sempre recebeu updates quando necessário… Fiquem lá com o iPhone chato. Já tive um e nunca mais……que grande seca

          Responder
          1. Avatar de Baptista Batos
            Baptista Batos

            Os nexus recebem muito pouco tempo de updates, e a más horas!

            O nexus 4 já não vai ter mais updates (e foi o que durou mais!).

            Deves ter tido um iPhone, deves… coitado…

          2. Avatar de David.pt
            David.pt

            Nem merece resposta…. Tive um iPhone 3G e tenho neste momento um mini ipad retina . Se quiser mando lhe uma foto do meu iPhone todo desmontado quando quis alterar a capa traseira

          3. Avatar de Goncalves
            Goncalves

            Estás a gozar só pode. O CM12 só apareceu em junho deste ano e o oxygenos nunca mas teve um actualização para o oneplus one…

      6. Avatar de ervilhoid
        ervilhoid

        marco mais valia não teres dito nada lol

        Responder
  2. Avatar de luis
    luis

    O Android em si já é uma vulnerabilidade.

    Responder
    1. Avatar de artur
      artur

      Ora aí está uma grande verdade! É um virus mobile!

      Responder
  3. Avatar de artur
    artur

    Eu quero um iPhone!

    Responder
    1. Avatar de Rui C
      Rui C

      O que não falta é oferta para todas as carteiras. 🙂

      Responder
      1. Avatar de Vítor
        Vítor

        Quando dizes “para todas as carteiras” estás mesmo a falar a sério?

        Responder
        1. Avatar de Rui C
          Rui C

          Sim estou.

          Desde o iPhone 4S até ao 6S.

          🙂

          Responder
  4. Avatar de ricardo M.
    ricardo M.

    Ora bem, tenho um Samsung s2(o meu 2 telemóvel) ha 4 ou 5 anos. Ja mudei 1500 vezes de rom. Faço tudo igual aos outros. 0 vírus que hoje. 0 dados comprometidos. Nunca foi preciso usar progama para prevenir isso. E como aquelas ofertas de iphones no facebook, só vai la por os dados quem quer.

    Responder
  5. Avatar de Prim
    Prim

    “o atacante tentará convencer o utilizador a visitar um determinado site”… OK!

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      qualquer coisa que seja phishing…

      Responder
      1. Avatar de Scrublord
        Scrublord

        Ou seja, se antes de passar os ficheiros MP3 do PC para o telemóvel, o antivírus do mesmo não detectará os infectados?

        Mais uma vez, a culpa final é do utilizador.

        Responder
        1. Avatar de Rafael
          Rafael

          “Mais uma vez, a culpa final é do utilizador.”
          Sim, tens razão. Mas nunca mais me esqueço das palavras de um Prof que tive em Programação: “quando programarem, façam-no como se o utilizador final fosse um burro”.

          Responder
      2. Avatar de joao machado
        joao machado

        existe um erro penso eu , 1.400 milhões no titulo e mais abaixo aparece 1.4000 milhões .

        Responder
  6. Avatar de Jaime
    Jaime

    AH Cá está, a notícia sobre o LG V10 e o Urbane 2nd Gen… Oh wait… Afinal é só mais um post a falar mal do Android, nevermind.

    Responder
    1. Avatar de Zaark
      Zaark

      Desde quando noticiar um problema é “falar mal”?

      Responder
  7. Avatar de Faria
    Faria

    Acho que existe por aqui muita confusão entre as pessoas, normalmente porque se deixam levar pela guerra Apple/Google/Microsoft (e colocado por ordem alfabética para não ofender).
    Aqui a noticia é sobre Android, e não sobre Google ou Apple. Quando o SO (Android, IOS, Windows Phone e NÂO GOOGLE(ou LG,Samsung,Sony)/APPLE/MICROSOFT) tem um bug, em regra, a google é mais rápida que a Apple a corrigir, e a Microsoft mais do que a Google, sendo que o próprio android é opensource e além da Google, existe uma comunidade muito forte associada.
    Se depois os fabrigantes não realizam essas correções ou atualizações, a culpa não é do Android. Não confundam as coisas. Se o fabricante do vosso equipamento não atualiza do SO, então DEIXEM de comprar equipamentos desse fabricante. A Samsung não atualiza o Android em nenhum equipamento. Todos sabem isso, então porque compram Samsungs e depois quexam-se que não há atualizações? E quem diz Samsungs diz LG, Sony, Asus, BQ, e todos os restantes…
    Se querem um equipamento com atualizações, então comprem um que vos garanta isso, e podem ser equipamentos Apple, Google, OnePlus, Xiami, Motorola, BQ (com o Android One), de uns chineses quaisquer ou até da LAIQ, empresa portuguesa que faz telemoveis, pois sempre podem ir lá bater à porta a pedir atualizações pois é perto, durante o periodo de garantia (2 anos), pelo menos.

    Responder
    1. Avatar de Brasão SS
      Brasão SS

      @Faria
      “A Google é mais rápida que a Apple a corrigir”
      Acho que estás redondamente enganado! A Google foi notificada a 15 de Agosto, e até agora nada! 1 mês e meio! Ainda por cima falhas graves!
      Olha a Apple com o iOS 9 lançado no dia 16 de Setembro e já teve dois updates! Estamos no dia 2 de outubro, duas semanas depois! “APENAS” para corrigir bugs, quanto mais falhas de segurança! Concordo em parte com o resto da tua afirmação, a Google não tem culpa das fabricantes não corrigirem as falhas, mas a Google também chega muito atrasada nisso!O que a Google deveria fazer era OBRIGAR as fabricantes a PELO MENOS corrigir as falhas de segurança! E isso ela poderia fazer, mas infelizmente não faz! Temos TODOS muita pena!
      Abraço!

      Responder
      1. Avatar de Faria
        Faria

        @Brasão,
        situações como esta são muito comuns. Não sei se te recordas, mas a Apple teve um bug durante 2 anos no seu OS, e não foi por falta de avisos, mas sim quer pela complexidade de resolução, quer pela gravidade da mesma, ou mesmo pela falta de vontade em resolver.
        Em relação aos dois updates em duas semanas, isso pode ser interpretado de duas maneiras. Ou realmente eles são muito rápidos a resolver bugs, ou então não efetuaram os testes em condições, o que numa situação de hardware controlado alguns dos bugs existentes não podem existir. Uma coisa é um OS a correr em 1000 equipamentos diferentes, em que não consegues prever comportamentos. Outra coisa é correr numa dúzia completamente controlada onde todo o hardware é escolhido a dedo.
        Agora é sabido, e não sou eu a dizer isto, mas sim qualquer forum norte-americano onde eles são os maiores consumidores Apple, que a apple ignora os clientes.
        O Android padece nos equipamentos móveis do mesmo problema que a Microsoft com os pc’s. Centenas de combinações de hardware, fabricantes onde cada um faz o que lhe dá na telha, o que provoca bugs atrás de bugs.
        Mas é preciso relembrar que existem jailbreaks e falhas de segurança no IOS efetuados à custa de bugs em aplicações de terceiros.
        Nem sempre a culpa é dos produtores de OS.
        Se a Google poderia obrigar os fabricantes? Não sei se o consegue, ou se o quer, porque a Google ganha por cada equipamento novo que saia com o seu OS, logo o que a Google quer é que as pessoas troquem de telefone a cada 3 meses, e não que atualizem as coisas. Se perguntas se isto é correto digo-te que ética e moralmente não, mas financeiramente sim.
        Sendo o Android baseado em kernel Linux, as atualizações criticas deveriam ser instantâneas, pois não dependem, em regra, do hardware existente. Contudo esse conceito de atualizações em equipamentos moveis não foi implementado como existe no mundo dos pc’s. É esperar que com a proliferação de equipamentos móveis isso mude, pois neste momento é onde é mais fácil os ataques, e não em pc’s

        Responder
      2. Avatar de david.pt
        david.pt

        A google não pode obrigar….. acho que devia ler no Wikipédia o que significa OpenSource.

        Responder
        1. Avatar de Benchmark do iPhone 6
          Benchmark do iPhone 6

          Passa por lá e ao menos distingue Android AOSP e GMS.

          Mas o problema é outro – nenhum sistema operativo foi deixado ao “deus dará” como o Android.

          Indica lá outro sistema operativo – Windows, WP, OS X, iOS, distribuições Linux, etc – em que se for preciso fazer chegar a todos os equipamentos uma actualização do sistema operativo, para corrigir uma vulnerabilidade – não haja meio de a fazer chegar?

          Com exceção dos Nexus, o que se passa no Android é uma aberração que deixa os utilizadores em perigo.

          Responder
    2. Avatar de david.pt
      david.pt

      +1

      Responder
    3. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      O que é que interessa culpa é do Android (leia-se da >Google) ou do operador?

      O que interessa é o qiz o Ars Technica: “O ecossistema Android não pode lidar com a segurança , e não vai mudar até que seja tarde demais”

      http://arstechnica.com/gadgets/2015/08/waiting-for-androids-inevitable-security-armageddon/

      Responder
  8. Avatar de rui
    rui

    Este é mais um exemplo de que só cai quem quer. Vejam de onde tiram as coisas. É sempre pelo mesmo motivo: sites manhosos, “app stores” não oficiais, etc etc. E não é só em Android, por isso deixem-se das guerrinhas estúpidas que a Apple não está melhor nos seus equipamentos (até os smartwatches as têm também). E já deu para reparar que temos mais um a pensar que consegue provar que a Apple é a melhor. Ou será que mudou de nome? Uma sugestão para o pplware: usarem o disqus para os comentários. Penso que seria mais fácil a sua gestão devido às “ferramentas” que possui.

    Responder
  9. Avatar de Mario Junior
    Mario Junior

    Aguardando o Stagefright 3.0.

    Responder
  10. Avatar de Zebrainas
    Zebrainas

    Pode estar muito limitado a nível de apps, o que afecta o numero de utilizadores e a atractividade dele, mas ainda assim opto por um Windows Phone (Tambem tenho um android e um iPhone, não sou nenhum fanboy XD).

    Responder
  11. Avatar de david.pt
    david.pt

    Não estou a perceber porque o pessoal está a comparar isto com os produtos da Apple. Que eu saiba a Apple tem uma falha que nunca consegue corrigir que se chama Jailbreak 😉 E não venham dizer que não é nenhuma falha grave de segurança…… Eu lembro-me no meu Iphone que quando fazia Jailbreak aquilo abria em backgroud processos um pouco duvidosos……….

    Responder
  12. Avatar de Benchmark do iPhone 6
    Benchmark do iPhone 6

    Resumidamente, o número de equipamentos vulneráveis é para cima de 1.100 milhões.

    – No Stagefright 1 os equipamentos Android são infectados através de um MMS. Foi divulgado o código desta vulnerabilidade.
    – No Stagfright 2 o equipamento Android são infectados ao tocar um simples MP3 ou MP4. O código não foi (ainda) divulgado.
    O Stagefright 3 não deve tardar, porque as vulnerabilidades não são corrigidas na maior parte dos equipamentos.

    Uma das fontes do post é o blogue “Motherboard”, tendo o e seu autor escrito na altura do Stragefright 1:

    “Goodbye, Android”

    “A Google continua a ter pouco controlo sobre a actualização do software, e os utilizadores do Android estão basicamente à mercê dos seus fabricantes e operadores.

    (…) Ou pode fazer root ao seu smartphone e instalar a excelente e mais e instalar-lhe o excelente e mais rapidamente actualizável sistema operativo de base Android-baseado o CyanogenMod. Esta é uma boa alternativa, mas não é trivial instalar o CyanogenMod, e as actualizações para certos smartphones depende de voluntários, por isso, novamente, podem não as ter tão rapidamente como gostariam.

    Ou, finalmente, podes seguir em frente, mudar para a Apple e comprar um iPhone.

    Apesar de o meu antigo “eu” me odiar, vou escolher a última opção”

    Lorenzo Franceschi-Bicchierai entusiasta do Android desde sempre e jornalista sobre segurança

    P.S. No link do post acima, recomenda que, ao menos, quem compra Android – compre um Nexus – coisa que qualquer pessoa de bom senso fará.

    http://motherboard.vice.com/read/goodbye-android

    Responder
    1. Avatar de David.pt
      David.pt

      Hehehehe tu fazes me mesmo rir………..

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.