Samsung corrige falha que pode comprometer celular Android com recebimento de imagem

= =---____------- ===  ----                                            -----________::_____   _____= =..= = =..= =..= = =____   _____::________                       --------- ====  -----------____---= =


Fabricante sul-coreana integrou suporte ao formato de imagem Qmage em todos os aparelhos desde 2014. Veja quais modelos já receberam ou ainda serão atualizados.  
= =---____------- ===  ----                                            -----________::_____   _____= =..= = =..= =..= = =____   _____::________                       --------- ====  -----------____---= =

Por Altieres Rohr

É fundador de um site especializado na defesa contra ataques cibernéticos

21/07/2020 13h29 Atualizado há um dia
Postado em 22 de julho de 2020 às 12h45m

  * Post.N. -\- 3.797 *  

Samsung Galaxy S20 Ultra — Foto: Celso Tavares/G1

A Samsung está distribuindo uma atualização para seus aparelhos de celular da linha Galaxy depois que um especialista do Google descobriu uma vulnerabilidade no código da fabricante responsável pelo processamento de um formato específico de imagens.

Por meio dessa falha, uma imagem maliciosa com um formato que só aparelhos da fabricante sul-coreana reconhecem poderia expor esses smartphones a invasores.

O arquivo pode ser enviado por mensagens multimídia (MMS) ou qualquer outro canal que leve o usuário a abrir a imagem com um dos apps compatíveis.

Até o momento, não há nenhum registro de que a brecha tenha sido explorada por hackers no mundo real, mas, de acordo com o especialista do Google Mateusz Jurczyk, ela está presente em todos os aparelhos da Samsung fabricados desde 2014, com o Android 4.4.4 ou superior.

Como o blog já apontou, a maioria dos celulares Android só recebe atualizações de sistema até dois anos após o lançamento.

No entanto, a Samsung enviou uma lista de aparelhos que receberam ou ainda terão o pacote como uma "atualização especial", apesar de alguns modelos não receberem mais atualizações regulares. A relação inclui aparelhos como o Galaxy Note 5, de 2015 (confira a tabela ao final do texto).

Jurczyk iniciou uma série de publicações detalhando a falha na quinta-feira (16) e diz que detectou a falha também em um Galaxy Note 4 de 2014, mas, em um documento oficial sobre atualizações, a fabricante tinha confirmado o problema apenas nas versões 8.0 e mais recentes do Android.

Invasão com uma mensagem

O especialista do Google que descobriu a brecha faz parte do "Projeto Zero", uma equipe formada para encontrar problemas de segurança em qualquer produto ou software popular, mesmo que não haja relação com o Google.

Segundo Jurczyk, o erro está em uma modificação feita pela Samsung no Skia, um componente de funções gráficas que é utilizado por vários projetos, como Firefox, Chrome e Android. Por meio do Skia, celulares conseguem exibir arquivos de imagem em formatos como JPG, PNG e GIF.

A Samsung modificou o Skia incluído em seus celulares para processar também as imagens "Qmage" – um formato da própria Samsung que não é comum na web. Um erro de programação nesse código deixa o aparelho exposto a ataques.

Como o código da Samsung está embutido no Skia, todos os aplicativos executados no celular (como o app de Galeria ou de Mensagens) são capazes de abrir as imagens "Qmage", mesmo que não tenham código específico para esse formato.

Por essa razão, a falha também pode ser explorada por meio desses apps.

Jurczyk diz que levou aproximadamente 100 minutos para desenvolver uma imagem Qmage capaz de explorar a falha de processamento encontrada por ele.

Com uma mensagem multimídia (MMS), a imagem maliciosa pode chegar a praticamente qualquer aparelho. Em smartphones que não são Samsung, ela não causaria danos porque eles não reconhecem o formato Qmage.

Nos aparelhos vulneráveis, a vítima não precisa necessariamente interagir com a mensagem – apenas o recebimento pode desencadear o processamento do arquivo recebido, iniciando a exploração da falha.

Usuários podem desativar o download automático das mensagens MMS, mas isso não impediria outros métodos de ataque.

Outras proteções do Android ainda precisam ser levadas em conta em um ataque no mundo real. Cada aplicativo no Android é executado em isolamento, o que significa que um invasor precisa se aproveitar também de outras vulnerabilidades para conseguir acesso total ao celular.

Sem essas outras vulnerabilidades, o invasor terá apenas o mesmo acesso que o aplicativo de mensagens, podendo ler os contatos e as mensagens SMS do aparelho.

O acesso ao app de mensagens em si traz riscos, já que pode permitir a burla de mecanismos de confirmação em duas etapas que funcionam por SMS ou da confirmação de número do WhatsApp, por exemplo.

Jurczyk demonstrou um ataque completo no Galaxy Note 10, mas afirmou que deve ser possível explorar a falha em outros modelos.

"Pelo que sei, não há qualquer barreira fundamental a ataques contra versões mais antigas do sistema e prevejo que um ataque similar funcionaria em versões anteriores dos aparelhos da Samsung", escreveu o especialista.

Consulta do nível do patch de segurança do Android, mostrando data de maio de 2019. — Foto: Reprodução

Como saber se o Android está atualizado

1. Abra as configurações do aparelho
2. Role até o fim da lista e toque em Sistema
3. Toque em "Sobre o dispositivo"
4. Toque em "Versão do Android"
5. Atente para a informação de "nível do patch de segurança". O ideal é que o nível seja o mesmo do mês corrente. Porém, um telefone que tiver uma atualização de até 2 meses antes (patch de agosto em outubro, ou de setembro em novembro, por exemplo) pode ser considerado "atualizado".

Se o seu aparelho não tiver a informação de "nível do patch de segurança" ou semelhante, sua versão do Android é bastante antiga e está desatualizada.

De acordo com a Samsung, o tempo de disponibilização da atualização para cada modelo pode variar. Os primeiros modelos foram atualizados em maio, mas outros receberam as atualizações em junho ou julho. A disponibilidade da atualização também pode variar por país, segundo a fabricante.

Lista de modelos

Veja aparelhos que já receberam atualização, segundo a Samsung:

• Galaxy Fold
• Galaxy Note10
• Galaxy Note10 Lite
• Galaxy Note10+
• Galaxy Note8
• Galaxy Note9
• Galaxy S10
• Galaxy S10 Lite
• Galaxy S10+
• Galaxy S10e
• Galaxy S20
• Galaxy S20 Ultra
• Galaxy S20 Ultra 5G
• Galaxy S20+
• Galaxy S8
• Galaxy S8+
• Galaxy S9
• Galaxy S9+
• Galaxy Tab A 10.1 (2019)
• Galaxy Tab A 10.5 (2018)
• Galaxy Tab A 8 (2019)
• Galaxy Tab A 8 Plus (2019)
• Galaxy Tab Active Pro
• Galaxy Tab Active2
• Galaxy Tab S4
• Galaxy Tab S5e
• Galaxy Tab S6
• Galaxy Tab S6 Lite
• Galaxy Z Flip
• Galaxy A01
• Galaxy A10
• Galaxy A10s
• Galaxy A11
• Galaxy A20
• Galaxy A20s
• Galaxy A21s
• Galaxy A30
• Galaxy A30s
• Galaxy A31
• Galaxy A5 (2017)
• Galaxy A50
• Galaxy A51
• Galaxy A6
• Galaxy A6+
• Galaxy A7 (2017)
• Galaxy A7 (2018)
• Galaxy A71
• Galaxy A70
• Galaxy A8 (2018)
• Galaxy A80
• Galaxy A9 (2018)
• Galaxy J2-Core
• Galaxy J4
• Galaxy J4+
• Galaxy J4-Core
• Galaxy J6
• Galaxy J6+
• Galaxy J7 (2016)
• Galaxy J7 (2017)
• Galaxy J7-Neo
• Galaxy J7-Top
• Galaxy J8
• Galaxy M31
• Galaxy On5 (2016)
• Galaxy On7 (2018)
• Galaxy Xcover-Pro

Modelos que ainda devem receber a atualização, de acordo com a fabricante:

• Galaxy Note5
• Galaxy S6
• Galaxy S6 Active
• Galaxy S6 Edge
• Galaxy S6 Edge+
• Galaxy S7
• Galaxy S7 Active
• Galaxy S7 Edge
• Galaxy Tab A 10.1 (2016)
• Galaxy Tab A 10.1 Plus (2016)
• Galaxy Tab A 8
• Galaxy Tab A 8 (2015)
• Galaxy Tab A 8 (2018)
• Galaxy Tab A 8 Plus (2015)
• Galaxy Tab A 9.7
• Galaxy Tab A Plus 9.7
• Galaxy Tab E 8
• Galaxy Tab E 9.6
• Galaxy Tab S2 8
• Galaxy Tab S2 8
• Galaxy Tab S2 9.7
• Galaxy Tab S2 9.7
• Galaxy Tab4 7
• Galaxy A3 (2016)
• Galaxy A5 (2016)
• Galaxy A7 (2016)
• Galaxy A8 (2015)
• Galaxy A8 (2016)
• Galaxy A9-Pro (2016)
• Galaxy C5
• Galaxy C5-Pro
• Galaxy C7
• Galaxy C7-Pro
• Galaxy C8 (Jade)
• Galaxy C9-Pro
• Galaxy J2 (2018)
• Galaxy J3 (2016)
• Galaxy J5 (2016)
• Galaxy J7 (2015)
• Galaxy J7 (2016)
• Galaxy On5 (2015)
• Galaxy On5 (2016)
• Galaxy On7 (2015)
• Galaxy On7 (2016)
• Galaxy On7 (2018)
• Galaxy S5-Neo

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------