Pesquisadores encontram 8 vulnerabilidades no sistema VOIP do Android

Falhas permitem que agressores gerem chamadas impossíveis de atender ou rejeitar, ou façam o smartphone reiniciar
Rafael Rigues03/10/2019 13h35

20190508094539

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Pesquisadores do OPPO ZIWU Cyber Security Lab em Shenzen, na China; Universidade Chinesa de Hong Kong e da Singapore Management University anunciaram a descoberta de oito vulnerabilidades no sistema VoIP (Voice Over IP – Voz sobre IP) de versões do Android entre a 7.0 (Nougat) e 9.0 (Pie).

Para isto eles usaram uma técnica conhecida como “fuzzing”, que consiste em inundar um componente do sistema com dados aleatórios ou malformados e ver como ele reage. Dessa forma é possível detectar problemas como crashes (fechamento inesperado de um app) ou vazamentos de memória.

Ao longo dos últimos anos, eles detectaram nove vulnerabilidades: uma considerada como severidade crítica, seis de alta severidade, uma moderada e uma baixa. Todas foram reportadas e algumas já foram corrigidas pelo Google, enquanto outras continuam abertas.

Muitos deles são relacionados a chamadas em que o número (ou nome de usuário) de origem é longo demais. Em um deles, batizado de VoIP Bomb e já corrigido, um nome de usuário com mais de 1.043 caracteres pode fazer com que seja impossível atender ou rejeitar uma chamada. Combinando várias chamadas em sequência, um malfeitor poderia efetivamente impedir que a vítima use o smartphone.

Outro bug, corrigido no Android Oreo (8.0), gera um stack overflow (estouro de pilha) e permite a execução remota de código se o nome ou número de origem tiver mais de 513 bytes. Um terceiro bug, explorado de forma similar, pode fazer o smartphone da vítima travar ou reiniciar.

Infelizmente, como ocorrem em componentes do sistema operacional, os usuários não tem muito o que fazer para se proteger destes bugs, a não ser atualizar seus smartphones para uma versão mais recente, e mais segura, do Android se possível.

Fonte: ZDNet

Colunista

Rafael Rigues é colunista no Olhar Digital