Fabricante sul-coreana integrou suporte ao formato de imagem Qmage em todos os aparelhos desde 2014. Veja quais modelos já receberam ou ainda serão atualizados.
A Samsung está distribuindo uma atualização para seus aparelhos de celular da linha Galaxy depois que um especialista do Google descobriu uma vulnerabilidade no código da fabricante responsável pelo processamento de um formato específico de imagens.
Por meio dessa falha, uma imagem maliciosa com um formato que só aparelhos da fabricante sul-coreana reconhecem poderia expor esses smartphones a invasores.
O arquivo pode ser enviado por mensagens multimídia (MMS) ou qualquer outro canal que leve o usuário a abrir a imagem com um dos apps compatíveis.
Até o momento, não há nenhum registro de que a brecha tenha sido explorada por hackers no mundo real, mas, de acordo com o especialista do Google Mateusz Jurczyk, ela está presente em todos os aparelhos da Samsung fabricados desde 2014, com o Android 4.4.4 ou superior.
Como o blog já apontou, a maioria dos celulares Android só recebe atualizações de sistema até dois anos após o lançamento.
No entanto, a Samsung enviou uma lista de aparelhos que receberam ou ainda terão o pacote como uma “atualização especial”, apesar de alguns modelos não receberem mais atualizações regulares. A relação inclui aparelhos como o Galaxy Note 5, de 2015 (confira a tabela ao final do texto).
Jurczyk iniciou uma série de publicações detalhando a falha na quinta-feira (16) e diz que detectou a falha também em um Galaxy Note 4 de 2014, mas, em um documento oficial sobre atualizações, a fabricante tinha confirmado o problema apenas nas versões 8.0 e mais recentes do Android.
Invasão com uma mensagem
O especialista do Google que descobriu a brecha faz parte do “Projeto Zero”, uma equipe formada para encontrar problemas de segurança em qualquer produto ou software popular, mesmo que não haja relação com o Google.
Segundo Jurczyk, o erro está em uma modificação feita pela Samsung no Skia, um componente de funções gráficas que é utilizado por vários projetos, como Firefox, Chrome e Android. Por meio do Skia, celulares conseguem exibir arquivos de imagem em formatos como JPG, PNG e GIF.
A Samsung modificou o Skia incluído em seus celulares para processar também as imagens “Qmage” – um formato da própria Samsung que não é comum na web. Um erro de programação nesse código deixa o aparelho exposto a ataques.
Como o código da Samsung está embutido no Skia, todos os aplicativos executados no celular (como o app de Galeria ou de Mensagens) são capazes de abrir as imagens “Qmage”, mesmo que não tenham código específico para esse formato.
Por essa razão, a falha também pode ser explorada por meio desses apps.
Jurczyk diz que levou aproximadamente 100 minutos para desenvolver uma imagem Qmage capaz de explorar a falha de processamento encontrada por ele.
Com uma mensagem multimídia (MMS), a imagem maliciosa pode chegar a praticamente qualquer aparelho. Em smartphones que não são Samsung, ela não causaria danos porque eles não reconhecem o formato Qmage.
Nos aparelhos vulneráveis, a vítima não precisa necessariamente interagir com a mensagem – apenas o recebimento pode desencadear o processamento do arquivo recebido, iniciando a exploração da falha.
Usuários podem desativar o download automático das mensagens MMS, mas isso não impediria outros métodos de ataque.
Outras proteções do Android ainda precisam ser levadas em conta em um ataque no mundo real. Cada aplicativo no Android é executado em isolamento, o que significa que um invasor precisa se aproveitar também de outras vulnerabilidades para conseguir acesso total ao celular.
Sem essas outras vulnerabilidades, o invasor terá apenas o mesmo acesso que o aplicativo de mensagens, podendo ler os contatos e as mensagens SMS do aparelho.
O acesso ao app de mensagens em si traz riscos, já que pode permitir a burla de mecanismos de confirmação em duas etapas que funcionam por SMS ou da confirmação de número do WhatsApp, por exemplo.
Jurczyk demonstrou um ataque completo no Galaxy Note 10, mas afirmou que deve ser possível explorar a falha em outros modelos. “Pelo que sei, não há qualquer barreira fundamental a ataques contra versões mais antigas do sistema e prevejo que um ataque similar funcionaria em versões anteriores dos aparelhos da Samsung”, escreveu o especialista.
Como saber se o Android está atualizado
Atente para a informação de “nível do patch de segurança”. O ideal é que o nível seja o mesmo do mês corrente. Porém, um telefone que tiver uma atualização de até 2 meses antes (patch de agosto em outubro, ou de setembro em novembro, por exemplo) pode ser considerado “atualizado”.
Se o seu aparelho não tiver a informação de “nível do patch de segurança” ou semelhante, sua versão do Android é bastante antiga e está desatualizada.
De acordo com a Samsung, o tempo de disponibilização da atualização para cada modelo pode variar. Os primeiros modelos foram atualizados em maio, mas outros receberam as atualizações em junho ou julho. A disponibilidade da atualização também pode variar por país, segundo a fabricante.
Lista de modelos
Veja aparelhos que já receberam atualização, segundo a Samsung:
Galaxy Fold
Galaxy Note10
Galaxy Note10 Lite
Galaxy Note10+
Galaxy Note8
Galaxy Note9
Galaxy S10
Galaxy S10 Lite
Galaxy S10+
Galaxy S10e
Galaxy S20
Galaxy S20 Ultra
Galaxy S20 Ultra 5G
Galaxy S20+
Galaxy S8
Galaxy S8+
Galaxy S9
Galaxy S9+
Galaxy Tab A 10.1 (2019)
Galaxy Tab A 10.5 (2018)
Galaxy Tab A 8 (2019)
Galaxy Tab A 8 Plus (2019)
Galaxy Tab Active Pro
Galaxy Tab Active2
Galaxy Tab S4
Galaxy Tab S5e
Galaxy Tab S6
Galaxy Tab S6 Lite
Galaxy Z Flip
Galaxy A01
Galaxy A10
Galaxy A10s
Galaxy A11
Galaxy A20
Galaxy A20s
Galaxy A21s
Galaxy A30
Galaxy A30s
Galaxy A31
Galaxy A5 (2017)
Galaxy A50
Galaxy A51
Galaxy A6
Galaxy A6+
Galaxy A7 (2017)
Galaxy A7 (2018)
Galaxy A71
Galaxy A70
Galaxy A8 (2018)
Galaxy A80
Galaxy A9 (2018)
Galaxy J2-Core
Galaxy J4
Galaxy J4+
Galaxy J4-Core
Galaxy J6
Galaxy J6+
Galaxy J7 (2016)
Galaxy J7 (2017)
Galaxy J7-Neo
Galaxy J7-Top
Galaxy J8
Galaxy M31
Galaxy On5 (2016)
Galaxy On7 (2018)
Galaxy Xcover-Pro
Modelos que ainda devem receber a atualização, de acordo com a fabricante:
Galaxy Note5
Galaxy S6
Galaxy S6 Active
Galaxy S6 Edge
Galaxy S6 Edge+
Galaxy S7
Galaxy S7 Active
Galaxy S7 Edge
Galaxy Tab A 10.1 (2016)
Galaxy Tab A 10.1 Plus (2016)
Galaxy Tab A 8
Galaxy Tab A 8 (2015)
Galaxy Tab A 8 (2018)
Galaxy Tab A 8 Plus (2015)
Galaxy Tab A 9.7
Galaxy Tab A Plus 9.7
Galaxy Tab E 8
Galaxy Tab E 9.6
Galaxy Tab S2 8
Galaxy Tab S2 8
Galaxy Tab S2 9.7
Galaxy Tab S2 9.7
Galaxy Tab4 7
Galaxy A3 (2016)
Galaxy A5 (2016)
Galaxy A7 (2016)
Galaxy A8 (2015)
Galaxy A8 (2016)
Galaxy A9-Pro (2016)
Galaxy C5
Galaxy C5-Pro
Galaxy C7
Galaxy C7-Pro
Galaxy C8 (Jade)
Galaxy C9-Pro
Galaxy J2 (2018)
Galaxy J3 (2016)
Galaxy J5 (2016)
Galaxy J7 (2015)
Galaxy J7 (2016)
Galaxy On5 (2015)
Galaxy On5 (2016)
Galaxy On7 (2015)
Galaxy On7 (2016)
Galaxy On7 (2018)
Galaxy S5-Neo
Fonte: G1
Imagem: People photo created by freepik – www.freepik.com