A empresa de segurança Rapid7 anunciou a inclusão de um módulo na ferramenta "Metasploit Framework", mantida pela empresa, para explorar uma vulnerabilidade no Android, sistema operacional do Google, que é conhecida desde dezembro de 2012 e que só foi corrigida em novembro de 2013 no Android 4.2. A falha permite que um site tome o controle do navegador do Android, tendo acesso a qualquer informação a qual o navegador tem acesso no celular.
O Metasploit Framework é uma ferramenta usada em testes de invasão, na qual um profissional de segurança tenta explorar falhas conhecidas em software para determinar se uma rede está segura. Por isso, ele tem diversos módulos para facilmente explorar diversas falhas, com apenas alguns cliques.
A Rapid7, que desenvolve o aplicativo, publicou um vídeo demonstrando a falha no Android (Veja aqui). No vídeo, um celular lê um código de barra QR e acessa o link nele contido. Em seguida, um monitor mostra que eles conseguiram um terminal de comando para controlar o celular. Os direitos de leitura e escrita no aparelho são os mesmos do navegador, o que significa que o código terá restrições, mas ele ainda poderá roubar dados armazenados no próprio navegador.
O usuário não recebe nenhum aviso quando visita a página maliciosa. A brecha também poderia ser explorada em conjunto com outra para dar o controle total do aparelho ao invasor. Falhas desse tipo existem em algumas versões do Android.
Para corrigir o problema é preciso atualizar o Android para a versão 4.2, mas muitos aparelhos não foram atualizados pelos fabricantes, deixando usuários vulneráveis. A Rapid7 disse que espera que a inclusão de um código para explorar essa falha incentive fabricantes a disponibilizar atualizações.
