Google corrige falha que poderia hackear Android com arquivo de vídeo

Atualização de julho de 2019 precisa ser repassada por fabricantes para que o aparelho seja imunizado.

Publicado em: 31 de Julho de 2019
Foto Por: Reprodução
Autor: Altieres Rohr
Fonte: G1
Consulta do nível do patch de segurança do Android, mostrando data de maio de 2019.

Google corrigiu uma vulnerabilidade na programação do Android que pode permitir que um celular, tablet ou outro aparelho baseado no sistema seja hackeado caso o usuário abra um arquivo de vídeo construído especialmente para essa finalidade. A brecha foi classificada como "crítica" pelo próprio Google.

 

O erro foi confirmado nas versões 7 (Nougat), 8 (Oreo) e 9 (Pie) do Android e corrigido no pacote de atualização de julho de 2019. Cada fabricante precisa repassar o pacote de atualização para os celulares — um processo que pode demorar.

 

O problema está presente no processamento de arquivos do tipo High Efficiency Video Coding (HEVC, ou "codificação de vídeo alta eficiência"). Esse formato, também conhecido como H.265, foi projetado para a transmissão de vídeo 4K e 8K. Por esse motivo, ele não é compatível com alguns modelos mais antigos de celular e não é utilizado em muitos aplicativos que trabalham com vídeos de qualidades mais baixas, como é o caso do WhatsApp.

 

Embora isso limite a possibilidade de certos ataques, ainda seria possível embutir o vídeo malicioso em uma página web e espalhar o link da página por WhatsApp ou outros aplicativos de mensagens, por exemplo. Os detalhes de exploração da brecha nesse cenário, no entanto, são desconhecidos.

 

O nível do patch de segurança instalado pode ser conferido no painel de configurações do telefone, na área de sistema, junto de outras informações sobre a versão do Android. Qualquer data anterior a "julho de 2019" ainda estará vulnerável a essa falha.

 

Probabilidade de ataque

 

Apesar da gravidade do problema, essa não é a primeira vez que uma brecha grave é encontrada no processamento de vídeos do Android. Em 2015, uma falha semelhante foi batizada de "Stagefright".

 

Embora muitos celulares tenham demorado a receber a atualização na época, não é conhecido nenhum ataque real que tenha se aproveitado do problema. Na prática, como o Android possui defesas que dificultam ataques reais, não é possível saber se essa nova falha será explorada ou não.

 

Mesmo sem ter aparecido em ataques, foi a Stagefright que motivou o Google a criar a rotina de atualizações mensais do Android que existe até hoje e permite que usuários verifiquem se já possuem ou não a atualização conferindo o "nível patch".

Comentários

Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie. Leia as perguntas mais frequentes para saber o que é impróprio ou ilegal.