Aproximadamente 6,1 milhões de telefones, roteadores e TVs inteligentes estão vulneráveis a ataques de execução remota de código devido a bugs de segurança que foram corrigidos em 2012.

Segundo Veo Zhang, analista de ameaças móveis da Trend Micro, o problema reside no fato de que existem muitos aplicativos – até apps muito populares – que utilizam uma versão mais antiga e vulnerável da biblioteca SDK (conhecida como libupnp) Universal Plug and Play (UPnP). A biblioteca é usada para implementar a reprodução de mídia ou NAT.

Leia também:

• Bug causa comportamento desleal nos resultados de busca do Google

• Microsoft vai pagar até US$ 15 mil por bugs encontrados no Visual Studio

Os bugs permitem stack overflow e podem ser acionados para executar código arbitrário, ou seja, o código que vai permitir que o invasor assuma o controle do dispositivo.

Zhang disse que eles encontraram 547 aplicativos que usaram versões mais antigas do libupnp, 326 dos quais estão disponíveis na Google Play. Eles incluem aplicativos populares, como QQMusic da Tencent, que tem 100 milhões de usuários na China, entre outros:

Inicialmente, os pesquisadores também acreditavam que o app Android do Netflix era vulnerável, mas descobriu-se que eles usaram um fork do libupnp que continha as correções para os bugs em questão.

“O Linphone SDK fornece serviços de voz sobre IP (VoIP) para diversas aplicações. O SDK libupnp é uma das várias opções utilizadas pelo Linphone SDK para fornecer NAT via UPnP; se essa opção for escolhida, o serviço vulnerável será ativado”, acrescentou Zhang

Linphone e Tencent foram notificados sobre o problema, que foi corrigido. Outros desenvolvedores podem tirar proveito dessa revelação para atualizar seus aplicativos com versões mais recentes da biblioteca.

Com informações de Help Net Security