Vulnerabilidade Continua Oferecendo Riscos para Usuários
Nesse contexto, tem havido uma atenção muito grande atraída para o bug em questão. Assim, os pesquisadores acreditam que seja provável que eles não foram os únicos a ter notado que a falha persiste e oferece risco para os usuários do sistema. Além disso, outros podem ter, também, intenções maliciosas e tirar proveito dessa exposição. Outro ponto que também é preocupante, é o fato de que o público em geral acredita que o patch atual poderá protegê-los, quando na verdade, não há essa possibilidade. Eles também alertaram a equipe da Zimperium sobre o patch com problema, e as duas empresas estão trabalhando para fornecer cobertura para detecção desta falha através do app Stagefright Detector da Zimperium. Vale ressaltar que o processo de divulgação do "Stagefright" é interessante de observar. O resultado surpreendente em relação a essa problemática, é que dada toda a exposição esta vulnerabilidade recebeu uma combinação de recursos infinitos essencialmente por parte do lado do fornecedor, e mesmo assim, nenhum atenuante eficaz de segurança foi implantados.
Em relação ao Google, o que sabemos é que ele emprega uma grande equipe de segurança, e em face disso, muitos membros dedicam seu tempo para auditar software de outro fornecedor e passa a responsabilizá-los por fornecer uma correção de código dentro de um período estabelecido. Além do mais, se o Google não tem a possibilidade de demonstrar a sua habilidade em resolver com êxito uma vulnerabilidade amplamente divulgada e que pode afetar a seus próprios clientes, o que podemos esperar da empresa? Em meio a essas tantas dúvidas e problemas, o Google anunciou na semana passada que eles vão começar a liberar atualizações regulares de segurança para os seus dispositivos Nexus, o que acontecerá a cada mês.
Expansão de Transparência nas Correções de Falhas do Android
Um dos grandes tópicos abordados na conferência de segurança Black Hat, foi o anúncio do Google sobre a nova política de atualizações do Android, trazendo correções mensais para as principais falhas do sistema. Essa medida foi adotada após o problema envolvendo o do bug "StageFright" que está sendo abordado nesta publicação e que afeta 95% dos dispositivos que executam o sistema Android no mercado. Esta falha coloca em risco os seus dados, sendo passíveis de ações cybercriminosas pois os crackers podem muito bem aceder ao smartphone do usuário via mensagens MMS. No contexto, o engenheiro-chefe de segurança do Android, Adrian Ludwig, anunciou um grande passo na direção certa, com a criação do Grupo de Segurança de Atualização do Android. O foco deste projeto é proporcionar mais informações sobre problemas existentes e boletins de segurança, e os primeiros detalhes estarão presentes em novos firmwares liberados para linha Nexus.
Tudo isso indica que a falha do StageFright fez com que a Google acordasse para as vulnerabilidades do seu sistema móvel. Isso exigiu que a empresa analisassem o código desde a raiz, para ir corrigindo todas as brechas de segurança. Mas é claro, isso tudo é apenas o início. Muita coisa ainda precisa ser feita nesse snetido para deixar o Android, de fato, totalmente seguro, pois o patch que foi implementado não foi o suficiente para oferecer a proteção da qual o sistema e os usuários necessitam. Dessa forma, a empresa espera passar uma maior transparência para os seus clientes. Afinal, esconder as falhas de segurança do Android não vai fazer com que elas deixem de existir e isso pode implicar em perda de confiança por parte dos usuários em relação ao Google. Portanto, quando você comprar um novo smartphone, você saberá exatamente o que esperar dele.
Acompanhamento de Progresso Mensal com Relação à Vulnerabilidades
Lógico que esses dados realmente serão bem técnicos e voltados mais para desenvolvedores e fabricantes parceiros. Porém, de toda forma, existe uma espécie de relatório de progresso mensal que será muito interessante para que possamos entender o que vem acontecendo com o sistema. E pelo fato de que as correções serão disponibilizadas também no canal AOSP de desenvolvimento, as fabricantes poderão usar as novas firmwares para corrigir falhas em seus sistemas também. Lembrando ainda que a as sul coreanas Samsung e LG já declararam que pretendem lançar atualizações mensais para incorporar todas as mudanças que aprimorem a segurança. No entanto, com a demora em liberar novos firmwares para os seus clientes, nos resta ficar acompanhando como tudo isso acontecerá. Em todo esse contexto, é necessário enfatizar que o grande problema da praga que desencadeou todo esse ambiente ameaçador relacionado ao sistema Android é que ela se espalha por mensagens MMS, mensagens estas que não precisam nem mesmo ser abertas para que seu telefone seja comprometido. O problema afeta praticamente todos os smartphones com o sistema Android, independente da versão que esteja sendo utilizada.
Recapitulando Sobre a Falha "Stagefright"
A partir do momento em que a mensagem é recebida no telefone da pessoa, um código é executado, dando total liberdade para que alguém com as piores intenções tome o controle do seu celular, permitindo que haja roubo de dados ou monitoramento remoto. Se o atacante conseguir fazer o monitoramento remoto, ele pode muito bem ativar a câmera ou microfone. Em resumo, um cybercriminoso poderia fazer o que quisesse com seu smartphone e com todas as informações as quais ele tivesse acesso. De acordo com Joshua Drake, pesquisador da Zimperium, esse processo acontece antes mesmo que o usuário seja notificado de que recebeu uma mensagem, o que torna o problema ainda mais sério. Esse processo malicioso acontece por causa de uma vulnerabilidade que foi detectada no Hangouts, em um recurso desenvolvido para permitir a execução de vídeo. Assim, o cybercriminoso "esconde" um malware com o vídeo e o envia para o número de celular da vítima. A partir desse momento, o aparelho processa a mensagem e coloca a vulnerabilidade em plena atividade. Vale ainda lembrar que isso tudo ocorre porque o Hangouts processa, de forma instantânea, todos os vídeos recebidos por MMS e os salva na galeria para facilitar a vida do usuário na hora de executá-los.
Entretanto, é exatamente isso que abre a porta para que o ataque seja colocado em prática. Se você não utiliza o Hangouts e utiliza o app de mensagens padrão do sistema, a mesma vulnerabilidade ainda é válida. Porém, ela só se manifesta quando a mensagem é exibida. De uma forma que atenua a preocupação gerada por este problema, não existem relatos de pessoas afetadas pelo problema. O Google, logo que reconheceu a existência da falha, classificou a mesma como uma vulnerabilidade de alta relevância. Isso porque esta falha permite a execução de código remoto e acesso local ao sistema. Além disso, a companhia deu início às atividades para solucionar o problema e o questionamento maior era como essa solução seria encontrada e qual q melhor forma da mesma ser colocada em prática. Sendo de conhecimento de todos, as atualizações do sistema, de forma habitual, possuem muitos intermediários, causando demora na distribuição de updates, isso quando os aparelhos são atualizados. Em uma situação de haver uma falha grave de segurança, essa característica do sistema Android passa a ser sinônimo de perigo e insegurança.
Recompensa por Falhas Encontradas no Android
Em junho deste ano, a equipe do Google anunciou uma expansão da iniciativa que pagaria programadores que encontrassem vulnerabilidades em seus produtos. Com o novo "Android Security Rewards", os colaboradores também poderiam receber prêmios em dinheiro por contribuírem com qualquer etapa da correção de uma vulnerabilidade, incluindo a realização de testes. Com o "Android Security Rewards", a empresa passa a ter cinco iniciativas de recompensas que envolvem pesquisa em vulnerabilidades já encontradas, iniciativa para os "patches", iniciativa voltada para projetos de pesquisa remunerados mesmo que nenhuma falha seja identificada, uma iniciativa voltada para questões específicas ao Chrome e uma totalmente dedicada ao sistema Android.
Saiba Mais:
[1] Net Securty http://www.net-security.org/secworld.php?id=18765