Um estudo feito pelos pesquisadores Karsten Nohl e Jakob Lell da empresa Security Research Labs (SRL) afirma que alguns fabricantes de celulares com o sistema Android deixam de incluir atualizações para algumas falhas de segurança nos pacotes de correção que deviam trazê-las. Dessa forma, mesmo um celular que esteja com determinado “nível do patch de segurança” ainda pode estar vulnerável a falhas que foram corrigidas naquele patch ou em patches anteriores.
A exploração de falhas de segurança em celulares é bastante rara. Mas, dependendo da gravidade dos problemas existentes, criminosos poderiam disseminar aplicativos maliciosos em vídeos, fotos, páginas web ou até conexões Wi-Fi, sem que a vítima tivesse que autorizar a instalação do aplicativo. Em outro cenário, uma falha pode permitir burlar a tela de bloqueio do aparelho, dispensando a digitação da senha configurada, por exemplo.
Como o estudo identificou divergências entre as correções de segurança que o celular diz estarem instaladas e o que foi de fato instalado, a pesquisa de Nohl e Lell se concentrou na complicada tarefa de determinar exatamente quais atualizações estão presentes no celular. O projeto foi apresentado no evento Hack in the Box em Amsterdã, na Holanda. O evento terminou nesta sexta-feira (13).
Os dados levantados apontam que aparelhos das marcas Google, Samsung, Sony e Wiko são os que menos deixam atualizações de lado. Xiaomi, OnePlus e Nokia pertencem à lista de marcas que deixaram de incluir até 3 atualizações. Em seguida estão as marcas que esqueceram de até 4 remendos: Motorola, LG, HTC, Huawei. Em último lugar estão as fabricantes TCL e ZTE.
Para quem quiser checar o próprio celular, é preciso baixar o aplicativo SnoopSnitch na Play Store e acionar a opção “Android patch level analysis”. Em seguida, deve-se tocar em “Start test”. Deve-se observar o número referente a “Patch missing”.
Falta de atualização não indica vulnerabilidade
As atualizações de segurança do Android são organizadas em pacotes mensais. O estudo aponta que alguns fabricantes removem certos itens desses pacotes, o que poderia manter um aparelho vulnerável mesmo quando ele está atualizado.
Em alguns casos, a remoção de um item pode ser feita porque o componente que seria atualizado não existe no celular. Nesses casos, mesmo que a atualização não seja instalada, o aparelho permanece imune porque não possui o recurso.
Nível de patch de segurança
O “patch de segurança” do Android é um tipo de atualização que corrige somente problemas ligados à segurança e estabilidade do sistema operacional. Diferente das atualizações de versão (do Android 7.0 para 7.1, por exemplo), o “patch” não inclui novas funcionalidades ao celular. O nível do patch instalado em seu celular pode ser conferido na tela “Configurar” do telefone, em “Sistema” “Sobre o dispositivo”.
A versão do patch é informada por data. “Março de 2018”, por exemplo, deve incluir todas as atualizações de segurança até março de 2018.
O Google lança um patch para o Android todo mês desde agosto de 2015. Isso significa que celulares com nível de patch de segurança de dois meses atrás já estão desatualizados. O que os pesquisadores identificaram, porém, abre a possibilidade para que mesmo aparelhos com o patch mais recente estejam sem alguma das correções incluídas nos pacotes.
Google Play Protect
A distribuição das atualizações sempre foi um desafio para o Android. Na época do Android 2, não era incomum que telefones recebessem uma ou duas atualizações para depois serem abandonados, ficando, ao mesmo tempo, sem novos recursos e sem as correções de segurança.
O “nível do patch de segurança” foi um meio encontrado pelo Google para criar uma rotina mensal de atualizações, semelhante ao adotado por outras fabricantes de software, para que os fabricantes e operadoras pudessem criar um procedimento comum e frequente para atualizações mais simples. Como o sistema em si não muda com o nível de patch de segurança, são necessárias poucas adaptações.
A mais recente iniciativa do Google é o Play Protect, uma marca que inclui um antivírus acoplado ao Android pelo Google Play e a certificação de aparelhos para que consumidores possam ter mais certeza sobre a confiabilidade de um telefone celular.
Todas as marcas testadas pelos pesquisadores são parceiras do Google que produzem aparelhos certificados, mas ainda é possível que alguns dos telefones testados não fazem parte da lista de modelos certificados pelo Google.
O Google afirmou que ainda vai analisar os dados dos pesquisadores para determinar o que exatamente está ocorrendo.
***
O PDF com a apresentação dada pelos pesquisadores pode ser baixado no site da Hack in the Box (aqui, em inglês)
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]
