-
Mercado da Bola: São Paulo anuncia goleiro e Rafinha Alcântara fora do PSG - 29/07/2022
-
Márcio Filho projeta estreia do Coritiba na segunda fase do Paranaense Sub-17 - 29/07/2022
-
Copa do Brasil: quatro clubes buscam título inédito - 29/07/2022
-
‘Fiquei frustrado’: 5G chega com instabilidade e decepciona em João Pessoa - 29/07/2022
-
SEC inclui Alibaba na lista de empresas chinesas que enfrentam risco de deslistagem - 29/07/2022
-
Por que Instagram desistiu dos planos de ‘imitar’ TikTok - 29/07/2022
-
Brasil já tem 100.000 carros elétricos e híbridos em circulação - 29/07/2022
-
JAC E-JV 5.5 é o novo furgão de entregas elétrico da marca - 29/07/2022
-
Shineray SHI 175 é lançada no Brasil com preço partindo de R$ 12.990 - 29/07/2022
-
Banco do Brasil: ação fecha em queda de 0,66% nesta sexta; veja valores - 29/07/2022
‘Patch’ para Android não garante atualização de segurança, diz estudo
Um estudo feito pelos pesquisadores Karsten Nohl e Jakob Lell da empresa Security Research Labs (SRL) afirma que alguns fabricantes de celulares com o sistema Android deixam de incluir atualizações para algumas falhas de segurança nos pacotes de correção que deviam trazê-las. Dessa forma, mesmo um celular que esteja com determinado “nível do patch de segurança” ainda pode estar vulnerável a falhas que foram corrigidas naquele patch ou em patches anteriores.
A exploração de falhas de segurança em celulares é bastante rara. Mas, dependendo da gravidade dos problemas existentes, criminosos poderiam disseminar aplicativos maliciosos em vídeos, fotos, páginas web ou até conexões Wi-Fi, sem que a vítima tivesse que autorizar a instalação do aplicativo. Em outro cenário, uma falha pode permitir burlar a tela de bloqueio do aparelho, dispensando a digitação da senha configurada, por exemplo.
Como o estudo identificou divergências entre as correções de segurança que o celular diz estarem instaladas e o que foi de fato instalado, a pesquisa de Nohl e Lell se concentrou na complicada tarefa de determinar exatamente quais atualizações estão presentes no celular. O projeto foi apresentado no evento Hack in the Box em Amsterdã, na Holanda. O evento terminou nesta sexta-feira (13).
Os dados levantados apontam que aparelhos das marcas Google, Samsung, Sony e Wiko são os que menos deixam atualizações de lado. Xiaomi, OnePlus e Nokia pertencem à lista de marcas que deixaram de incluir até 3 atualizações. Em seguida estão as marcas que esqueceram de até 4 remendos: Motorola, LG, HTC, Huawei. Em último lugar estão as fabricantes TCL e ZTE.
Para quem quiser checar o próprio celular, é preciso baixar o aplicativo SnoopSnitch na Play Store e acionar a opção “Android patch level analysis”. Em seguida, deve-se tocar em “Start test”. Deve-se observar o número referente a “Patch missing”.
Falta de atualização não indica vulnerabilidade
As atualizações de segurança do Android são organizadas em pacotes mensais. O estudo aponta que alguns fabricantes removem certos itens desses pacotes, o que poderia manter um aparelho vulnerável mesmo quando ele está atualizado.
Em alguns casos, a remoção de um item pode ser feita porque o componente que seria atualizado não existe no celular. Nesses casos, mesmo que a atualização não seja instalada, o aparelho permanece imune porque não possui o recurso.
Nível de patch de segurança
O “patch de segurança” do Android é um tipo de atualização que corrige somente problemas ligados à segurança e estabilidade do sistema operacional. Diferente das atualizações de versão (do Android 7.0 para 7.1, por exemplo), o “patch” não inclui novas funcionalidades ao celular. O nível do patch instalado em seu celular pode ser conferido na tela “Configurar” do telefone, em “Sistema” “Sobre o dispositivo”.
A versão do patch é informada por data. “Março de 2018”, por exemplo, deve incluir todas as atualizações de segurança até março de 2018.
O Google lança um patch para o Android todo mês desde agosto de 2015. Isso significa que celulares com nível de patch de segurança de dois meses atrás já estão desatualizados. O que os pesquisadores identificaram, porém, abre a possibilidade para que mesmo aparelhos com o patch mais recente estejam sem alguma das correções incluídas nos pacotes.
Google Play Protect
A distribuição das atualizações sempre foi um desafio para o Android. Na época do Android 2, não era incomum que telefones recebessem uma ou duas atualizações para depois serem abandonados, ficando, ao mesmo tempo, sem novos recursos e sem as correções de segurança.
O “nível do patch de segurança” foi um meio encontrado pelo Google para criar uma rotina mensal de atualizações, semelhante ao adotado por outras fabricantes de software, para que os fabricantes e operadoras pudessem criar um procedimento comum e frequente para atualizações mais simples. Como o sistema em si não muda com o nível de patch de segurança, são necessárias poucas adaptações.
A mais recente iniciativa do Google é o Play Protect, uma marca que inclui um antivírus acoplado ao Android pelo Google Play e a certificação de aparelhos para que consumidores possam ter mais certeza sobre a confiabilidade de um telefone celular.
Todas as marcas testadas pelos pesquisadores são parceiras do Google que produzem aparelhos certificados, mas ainda é possível que alguns dos telefones testados não fazem parte da lista de modelos certificados pelo Google.
O Google afirmou que ainda vai analisar os dados dos pesquisadores para determinar o que exatamente está ocorrendo.
***
O PDF com a apresentação dada pelos pesquisadores pode ser baixado no site da Hack in the Box (aqui, em inglês)
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]
Fonte: http://g1.globo.com/tecnologia/blog/seguranca-digital/post/patch-para-android-nao-garante-atualizacao-de-seguranca-diz-estudo.html