A vulnerabilidade Zero Day do Android foi descoberta por pesquisadores a muito tempo, no entanto, mesmo reportando o Google não corrigiu ainda. Com isso, o Android permanece vulnerável e qualquer cracker pode explorar a falha e assumir o controle do dispositivo.
A vulnerabilidade é considerada de alta gravidade, e esta presente no driver v4l2 cuja falha permite que um cracker (Hacker mal intencionado), valide um objeto antes de executar operações. Desta forma, será possível ter acesso total ao Android a nível do Kernel.
A descoberta foi realizada pela Zero Day Initiative da Trend Micro, que por sua vez, divulgou ao Google a questão. No entanto, o Google corrigiu muitas outras vulnerabilidade, deixando até agora, a Zero Day sem correção.
Apenas para termos uma ideia da gravidade, a escala CVSS, que mede as pontuações de vulnerabilidade tendo como pontuação máxima 10, considera a vulnerabilidade Zero Day do Android 7,8.
Durante a análise, os pesquisadores identificaram que o cracker pode assumir o controle total do dispositivo, desde que a vítima instale um arquivo especialmente criado para assumir o controle do dispositivo Android.
Dito isso, a ZDI havia relato o problema ao Google em 13 de março deste ano. No entanto, o Google mesmo confirmando a existência da falha em 28 de junho não lançou nenhuma correção para ela.
Atualizações de segurança para Android em setembro
Setembro chegou, o Android 10 foi lançado, mas nenhuma atualização para a vulnerabilidade Zero Day do Android foi liberada. No entanto, em setembro, o Google corrigiu cerca de 13 vulnerabilidades através das famosas atualizações de segurança.
Existem duas falhas críticas (CVE-2019-2176, CVE-2019-2108) na estrutura de mídia do Android que foram corrigidas nesta atualização de segurança que permite que um invasor remoto que use um arquivo especialmente criado execute código arbitrário no contexto de um processo privilegiado, Disse o Google.
Por ora, só podemos aguardar as futuras atualizações. O Google não fez nenhum comentário sobr os alertas constantes da ZDI, como também não informou nenhum prazo para lançamento de alguma correção da Zero Day para Android.
Para maiores informações, consulte os links abaixo: