Reading Time: 2 minutes

Dispositivos com Android instalado podem ser comprometidos através da vulnerabilidade CVE-2019-2107 ao reproduzir um vídeo.

Dispositivos com o Android instalado podem ser comprometidos através da vulnerabilidade identificada como CVE-2019-2107 apenas reproduzindo um vídeo com o player nativo do Android.

Esta vulnerabilidade permite a um atacante executar código remoto no dispositivo visado (RCE) e afeta a versões Android compreendidadas entre 7.0 e 9.0 (Nougat, Oreo ou Pie) impactando potencialmente mais de 1 bilhão de dispositivos no mundo inteiro.

A falha RCE CVE-2019-2107 reside na estrutura de media do sistema operativo móvel Android da gigante tecnológica Google.

O Google já remendou a falha com o Boletim de Segurança do Android de julho de 2019, mas milhões de dispositivos ainda aguardam o lançamento do patch pelos seus fabricantes.

“The most severe vulnerability in this section [media framework] could enable a remote attacker using a specially crafted file to execute arbitrary code within the context of a privileged process,” reads the security advisory.

 

O programador Android, Marcin Kozlowski, também publicou um código de prova de conceito (PoC) para explorar essa falha.

O PoC, um vídeo codificado em HEVC, pode permitir que um atacante bloquei-e o media player. Potencialmente, um invasor pode desenvolver uma exploração para executar código arbitrário remotamente.

No entanto, deve notar-se que, se esses vídeos maliciosos forem recebidos por meio de uma aplicação de mensagens como o WhatsApp ou Facebook Messenger ou carregados em um serviço como o YouTube ou o Twitter, o ataque não funcionará.

Ele terá que ser especialmente criado e executado, sem modificações, no dispositivo alvo. Para isso os invasores poderão distribuir links para download através de campanhas de engenharia social (como o phishing).

“CVE-2019-2107 – looks scary. Still remember Stagefright and PNG bugs vulns …. With CVE-2019-2107 the decoder/codec runs under mediacodec user and with properly “crafted” video (with tiles enabled – ps_pps->i1_tiles_enabled_flag) you can possibly do RCE. The codec affected is HVEC (a.k.a H.265 and MPEG-H Part 2)” wrote Kozlowski.

alt text

 

Como meio de impedir a execução bem sucedida desta vulnerabilidade, os utilizadores precisam atualizar as versões do Android aplicando os patches de segurança mais recentes.

Evitar descarregar e reproduzir vídeos de fontes não confiáveis é também uma solução para combater a execução da vulnerabilidade nos dispositivos afetados.