Dispositivos com o Android instalado podem ser comprometidos através da vulnerabilidade identificada como CVE-2019-2107 apenas reproduzindo um vídeo com o player nativo do Android.
Esta vulnerabilidade permite a um atacante executar código remoto no dispositivo visado (RCE) e afeta a versões Android compreendidadas entre 7.0 e 9.0 (Nougat, Oreo ou Pie) impactando potencialmente mais de 1 bilhão de dispositivos no mundo inteiro.
A falha RCE CVE-2019-2107 reside na estrutura de media do sistema operativo móvel Android da gigante tecnológica Google.
“The most severe vulnerability in this section [media framework] could enable a remote attacker using a specially crafted file to execute arbitrary code within the context of a privileged process,” reads the security advisory.
O programador Android, Marcin Kozlowski, também publicou um código de prova de conceito (PoC) para explorar essa falha.
O PoC, um vídeo codificado em HEVC, pode permitir que um atacante bloquei-e o media player. Potencialmente, um invasor pode desenvolver uma exploração para executar código arbitrário remotamente.
No entanto, deve notar-se que, se esses vídeos maliciosos forem recebidos por meio de uma aplicação de mensagens como o WhatsApp ou Facebook Messenger ou carregados em um serviço como o YouTube ou o Twitter, o ataque não funcionará.
Ele terá que ser especialmente criado e executado, sem modificações, no dispositivo alvo. Para isso os invasores poderão distribuir links para download através de campanhas de engenharia social (como o phishing).
“CVE-2019-2107 – looks scary. Still remember Stagefright and PNG bugs vulns …. With CVE-2019-2107 the decoder/codec runs under mediacodec user and with properly “crafted” video (with tiles enabled – ps_pps->i1_tiles_enabled_flag) you can possibly do RCE. The codec affected is HVEC (a.k.a H.265 and MPEG-H Part 2)” wrote Kozlowski.
Como meio de impedir a execução bem sucedida desta vulnerabilidade, os utilizadores precisam atualizar as versões do Android aplicando os patches de segurança mais recentes.
Evitar descarregar e reproduzir vídeos de fontes não confiáveis é também uma solução para combater a execução da vulnerabilidade nos dispositivos afetados.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.