Uma nova vulnerabilidade foi identificada em dispositivos Android e permite que funções essenciais do aparelho sejam desabilitadas, “matando” o smartphone. Dessa forma, o device fica no modo silencioso, incapaz de fazer chamadas e com a tela bloqueada.
De acordo com a Trend Micro, o problema atinge as versões 4.3 (Jelly Bean) e posteriores – chegando ao Android 5.1.1 (Lollipop). Somadas, essas versões são responsáveis por mais da metade dos dispositivos com o OS em uso atualmente.
Método de ataque
A brecha pode ser explorada de duas maneiras: por meio de um aplicativo malicioso instalado no dispositivo ou por um site especialmente criado para isso.
A primeira técnica pode causar efeitos a longo prazo: um aplicativo com um arquivo MKV embutido, que se registra sempre que o dispositivo é inicializado, fazendo com que o sistema operacional trave toda vez que for ligado.
Já para o site, esse mesmo arquivo MKV é incorporado a uma página HTML. Quando este site é carregado usando o navegador Chrome, ocorre o mesmo efeito de travamento que com o app. Vale ressaltar que, embora o Chrome móvel desabilite pré-carrregamento e autoplay de vídeos, o MKV malformado faz com que o Chrome leia mais de 16MB até que o MediaServer trave.
Como funciona
A vulnerabilidade reside no serviço de MediaServer, que é usado pelo Android para indexar arquivos de mídia localizados no dispositivo. O recurso não consegue processar corretamente um arquivo de vídeo malformado usando o container Matroska (geralmente com uma extensão mkv).
Quando o processo abre um arquivo MKV malformado, o serviço pode travar e com isso, travar todo o sistema operacional. Nesse caso, quando o aplicativo é iniciado, o serviço de MediaServer trava de forma repetitiva.
A vulnerabilidade é causada por uma quantidade excessiva de números inteiros (integer overflow) quando o serviço de MediaServer analisa um arquivo MKV. Ele lê a memória do buffer ou grava dados no endereço NULL ao analisar os dados de áudio.
