Em junho deste ano, mais uma falha grave de segurança foi encontrada no Android, de código CVE-2015-3842. Ela funciona a partir de um problema no servidor de mídia do sistema. A falha, conhecida como heap overflow, pode inclusive, explorar os privilégios de quem a está explorando.

A vulnerabilidade estava presente em todas as versões do Android desde o 2.3 Gingerbread. A boa notícia é que o Google, em parceria com a empresa que descobriu a falha já solucionou o problema.

A falha estava presente em um componente do servidor de mídia denominado AudioEffect. De acordo com a Wish Wu da Trend Micro, a vulnerabilidade poderia ser explorada após alguém instalar um aplicativo sem permissão especial. Assim, ele conseguiria obter os mesmo privilégios do servidor de mídia. Levando em consideração que o componente lida com vários aspectos do aparelho, que inclui imagens e também vídeos, a privacidade do usuário estava em risco.

"O ataque pode ser completamente controlado, o que significa que um aplicativo malicioso consegue decidir quando começar ou parar o ataque. Um hacker poderia rodar seu código com as mesmas permissões que o servidor de mídia tem em suas rotinas normais. Visto que o componente do servidor de mídia lida com diversas tarefas relacionadas com mídias, incluindo a captura de fotos, leitura de arquivos MP4 e gravação de vídeos, a privacidade da vítima estaria em risco."

Para expor a gravidade da falha, uma demonstração foi realizada em um Nexus 6, que roda o Android 5.1.1. O app malicioso conseguiu sem problemas travar o componente do servidor de mídia.

Felizmente, a falha já está corrigida. Os responsáveis pela descoberta disseram que não encontraram ataques presentes em decorrência da brecha de segurança.