Segurança Cibernética

Metaphor: um novo capítulo da falha que coloca em risco milhões de aparelhos Android

Lisandro Carmona de Souza, 20 de Abril de 2016 16h0min0s CEST

Um ano depois da descoberta da falha Stagefright, a Metaphor é a vulnerabilidade mais recente que ameaça o Android.

Android-StageFright-Exploit

(Imagem: Enterprise Security Today)

Há um ano, foi quase impossível deixar de ler algo sobre a falha chamada Stagefright. Naquela altura, os pesquisadores de segurança acreditavam que a Stagefright fosse a pior falha do Android de todos os tempos. Um ano depois desta descoberta, a Metaphor é uma das mais recentes consequências desta praga.

A engenharia social - uma técnica popular que é utilizada para enganar as vítimas e infectá-las com malwares - também pode ser decisiva para conseguir que as vítimas abram páginas que permitem tirar proveito da falha e tornar a Metaphor realmente perigosa.

Os métodos para enganar as vítimas e se aproveitar da Metaphor podem utilizar popups e links em sites maliciosos e/ou infectados, assim como em sites confiáveis que foram vítimas de hackers. A Metaphor também pode ser a porta de entrada de outras técnicas de engenharia social que levam as vítimas a se conectarem a redes WiFi gratuitas e inseguras ou a escanear um código QR que faz propaganda de um jogo ou aplicativo aparentemente inocentes.

No fundo, a Metaphor utiliza a mesma biblioteca do Android (a libstagefright) como a falha original chamada Stagefright, mas a forma de executar o problema é diferente. Para conseguir se aproveitar da falha, a equipe de pesquisadores da NorthBit utilizou um método diferente da Stagefright, que pode ser visto com mais detalhes técnicos no relatório CVE-2015-3864. O método Address Space Layout Randomisation (ASLR) é uma tecnologia utilizada para interromper a execução de um shellcode.

Uma das partes mais importantes (e mais assustadoras) da Metaphor é a sua capacidade de atingir um grande número de aparelhos Android. A Metaphor pode atingir os aparelhos que rodam o Android 5.0 e 5.1, o que significa que "podem atingir" 36,1% dos aparelhos Android em todo o mundo. Dissemos "pode atingir" porque o código não está preparado para funcionar em todo tipo de aparelhos. A forma de tirar proveito da falha é exclusiva de cada modelo de aparelho e, por isso, são necessárias pequenas mudanças no código para que seja efetiva naquele aparelho.

O papel da parsing na Metaphor

Parsing é o processo de obtenção de metadados como o título, o nome do artista, subtítulos, comentários, etc. de um arquivo de mídia. Assim como na falha original Stagefright, a Metaphor abusa de falhas específicas na biblioteca Stagefright do Android (libstagefright). Essas falhas (bugs) podem ser encontradas na seção de parsing de metadados do código que existe dentro da libstagefright. O disparador da Metaphor é a execução do JavaScript em um navegador. A vítima deve abrir uma página especialmente desenhada para executar este JavaScript, que será utilizado para obter os dados de um arquivo de mídia e provocar a falha no código (tecnicamente, uma heap overflow).

Então como a Metaphor é diferente da falha original Stagefright? A principal diferença está na forma de bloquear o Address Space Layout Randomisation (ASLR). O ataque deve ser feito de forma diferente em cada aparelho para que possa atingir o ASLR com sucesso. Um banco de dados com as características dos aparelhos (versões do Android e do aparelho) podem aumentar a quantidade de aparelhos que entrem na zona de risco.

Como os usuários podem se proteger da Metaphor?

Malwares mutantes em aparelhos móveis começaram a se tornar cada vez mais uma ameaça. Para evitar ser uma vítima da Metaphor (e de outras falhas semelhantes), é absolutamente necessário que as pessoas e as empresas utilizem o bom senso nos seus aparelhos móveis e, em geral, recomenda-se as seguintes precauções:

  • Garantir de atualizar mensalmente o seu aparelho via OTA ou no site do fabricante
  • Nunca clicar em links de emails de pessoas que você não conhece

Para entender mais sobre a Metaphor, leia o relatório completo da NorthBit.