Milhões de aparelhos Android se encontram novamente vulneráveis depois que pesquisadores descobriram uma nova forma de explorar uma antiga vulnerabilidade que já havia sido reparada anteriormente pelo Google.
A NorthBit, empresa de segurança baseada em Israel, publicou um artigo descrevendo a Metaphor, um apelido para a nova brecha encontrada no Stagefright, biblioteca multimídia do Android.
O ataque tem efeito em aparelhos que rodam versões desde a 2.2 a 4.0 e 5.0 e 5.1, disse a companhia.
Segundo a empresa NorthBit, o ataque funciona melhor nos aparelhos Nexus 5 do Google e com algumas modificações para o HTC One, G3 da LG e Samsung S5.
O ataque é uma extensão de outros desenvolvidos para o CVE-2015-3864, uma vulnerabilidade de execução de código remoto que o Google já havia reparado duas vezes.
A companhia de segurança Zimperium encontrou as primeiras falhas no Stagefright no início de 2015, quando milhões de dispositivos foram afetados. Desde então, o Google tem direcionado repetidamente patches para as brechas no Stagefright que analistas continuaram a encontrar.
A NorthBit publicou um video onde mostrava um ataque bem sucedido, que exige um pouco de conhecimento em engenharia social. A vítima é levada a clicar em um link e a permanecer em uma página específica da Web por algum tempo enquanto o exploit roda. Pode levar desde apenas alguns segundos a dois minutos para o exploit terminar o seu trabalho.
No vídeo, a vítima que usa um Nexus 6, abre um link que a direciona para uma página com fotos de gatos, enquanto o NorthBit mostra a atuação do exploit.
A companhia estima que cerca de 235 mil aparelhos Android rodam as versões 5.0 e 5.1 e cerca de 40 milhões rodam a versão 2.2.
Chris Eng, vice-presidente de pesquisa na Veracode, disse que é provável que o Google resolva a questão rapidamente. Mas a distribuição dos patches do Stagefright tem sido irregulares.
Reparar vulnerabilidades de aplicações é especialmente desafiador para a comunidade Android com um número de diferentes fabricantes e operadoras encarregadas com a responsabilidade de direcionar os reparos para os dispositivos, disse Eng.
O Google não foi encontrado imediatamente para comentar o assunto.