Segurança Cibernética

Metaphor: um novo capítulo da falha que coloca em risco milhões de aparelhos Android

Lisandro Carmona de Souza, 20 Abril 2016

Um ano depois da descoberta da falha Stagefright, a Metaphor é a vulnerabilidade mais recente que ameaça o Android.

Android-StageFright-Exploit

(Imagem: Enterprise Security Today)

Há um ano, foi quase impossível deixar de ler algo sobre a falha chamada Stagefright. Naquela altura, os pesquisadores de segurança acreditavam que a Stagefright fosse a pior falha do Android de todos os tempos. Um ano depois desta descoberta, a Metaphor é uma das mais recentes consequências desta praga.

A engenharia social - uma técnica popular que é utilizada para enganar as vítimas e infectá-las com malwares - também pode ser decisiva para conseguir que as vítimas abram páginas que permitem tirar proveito da falha e tornar a Metaphor realmente perigosa.

Os métodos para enganar as vítimas e se aproveitar da Metaphor podem utilizar popups e links em sites maliciosos e/ou infectados, assim como em sites confiáveis que foram vítimas de hackers. A Metaphor também pode ser a porta de entrada de outras técnicas de engenharia social que levam as vítimas a se conectarem a redes WiFi gratuitas e inseguras ou a escanear um código QR que faz propaganda de um jogo ou aplicativo aparentemente inocentes.

No fundo, a Metaphor utiliza a mesma biblioteca do Android (a libstagefright) como a falha original chamada Stagefright, mas a forma de executar o problema é diferente. Para conseguir se aproveitar da falha, a equipe de pesquisadores da NorthBit utilizou um método diferente da Stagefright, que pode ser visto com mais detalhes técnicos no relatório CVE-2015-3864. O método Address Space Layout Randomisation (ASLR) é uma tecnologia utilizada para interromper a execução de um shellcode.

Uma das partes mais importantes (e mais assustadoras) da Metaphor é a sua capacidade de atingir um grande número de aparelhos Android. A Metaphor pode atingir os aparelhos que rodam o Android 5.0 e 5.1, o que significa que "podem atingir" 36,1% dos aparelhos Android em todo o mundo. Dissemos "pode atingir" porque o código não está preparado para funcionar em todo tipo de aparelhos. A forma de tirar proveito da falha é exclusiva de cada modelo de aparelho e, por isso, são necessárias pequenas mudanças no código para que seja efetiva naquele aparelho.

O papel da parsing na Metaphor

Parsing é o processo de obtenção de metadados como o título, o nome do artista, subtítulos, comentários, etc. de um arquivo de mídia. Assim como na falha original Stagefright, a Metaphor abusa de falhas específicas na biblioteca Stagefright do Android (libstagefright). Essas falhas (bugs) podem ser encontradas na seção de parsing de metadados do código que existe dentro da libstagefright. O disparador da Metaphor é a execução do JavaScript em um navegador. A vítima deve abrir uma página especialmente desenhada para executar este JavaScript, que será utilizado para obter os dados de um arquivo de mídia e provocar a falha no código (tecnicamente, uma heap overflow).

Então como a Metaphor é diferente da falha original Stagefright? A principal diferença está na forma de bloquear o Address Space Layout Randomisation (ASLR). O ataque deve ser feito de forma diferente em cada aparelho para que possa atingir o ASLR com sucesso. Um banco de dados com as características dos aparelhos (versões do Android e do aparelho) podem aumentar a quantidade de aparelhos que entrem na zona de risco.

Como os usuários podem se proteger da Metaphor?

Malwares mutantes em aparelhos móveis começaram a se tornar cada vez mais uma ameaça. Para evitar ser uma vítima da Metaphor (e de outras falhas semelhantes), é absolutamente necessário que as pessoas e as empresas utilizem o bom senso nos seus aparelhos móveis e, em geral, recomenda-se as seguintes precauções:

  • Garantir de atualizar mensalmente o seu aparelho via OTA ou no site do fabricante
  • Nunca clicar em links de emails de pessoas que você não conhece

Para entender mais sobre a Metaphor, leia o relatório completo da NorthBit.