Google diz que também consertou “muitas” das falhas expostas em vazamento da CIA
Porém, especialistas afirmam que versões antigas do Android continuam em risco
Porém, especialistas afirmam que versões antigas do Android continuam em risco
Um vazamento de 9 mil documentos secretos da CIA mostrou como a agência de espionagem usa smartphones e até smart TVs para obter informações. A Apple diz que seus usuários não correm perigo e que muitas falhas de segurança no iOS encontradas em documentos do Vault 7 já foram consertadas; agora é a vez do Google.
Em nota enviada ao Recode, Heather Adkins, diretora de segurança e privacidade da informação, disse que está confiante que atualizações de segurança presentes no Chrome e no Android já protegem os usuários de “muitas” das vulnerabilidades vazadas. Adkins afirmou que eles estão analisando ambas as plataformas e, caso necessário, vão implementar outras proteções.
Nos documentos, foi documentada a invasão de aparelhos que rodam Android entre 2013 e 2016, com 24 formas diferentes descritas de invadir o sistema. Não se sabe, no entanto, se Androids mais antigos também estão seguros: segundo a Forbes, os documentos da CIA mostram “dúzias” de vulnerabilidades em versões mais antigas, como a 4.4 KitKat.
Esse é um dado preocupante. Os relatórios especificam invasões em smartphones como o Samsung Galaxy S5 e o Note 3, que foram lançados com o KitKat ou Jelly Bean – versões nas quais muitos aparelhos se encontram hoje. De acordo com dados do Google, 21% dos Androids ainda estão na versão 4.4 KitKat, 33% na Lollipop (5.0/5.1), 31% na 6.0 Marshmallow e apenas 2,8% na última versão, o Nougat (7.0/7.1).
Além disso, de acordo com especialistas ouvidos pelo New York Times, há dois problemas que pairam sobre acabar com essas vulnerabilidades. Um é o acesso ao código em si, já que a CIA e o Wikileaks estão sentando em cima das falhas de segurança, mas não apresentam o software malicioso às gigantes de tecnologia. Sem muita profundidade, não dá pra fazer muita coisa em um período curto de tempo.
Sim, existe uma forma de empresas pedirem para a CIA apresentar essas falhas de segurança, chamado VEP (Processo de Equidades de Vulnerabilidades, em inglês), mas é um processo burocrático e que demanda muito tempo. A Cisco, que teve roteadores explorados pela CIA, disse que, sem acesso mais detalhado ao código-fonte das ferramentas usadas pela agência americana, não consegue fazer muita coisa.
Outro problema é a incerteza do que vem por aí. Segundo o Wikileaks, esses quase 9 mil documentos são apenas 1% do total. Eles pretendem fazer outros sete grandes vazamentos ao longo do ano. Basicamente, os sistemas explorados podem estar seguros agora, mas não muito. Alguns, inclusive, podem estar vulneráveis até hoje. E só nos resta esperar pelos próximos capítulos.
Com informações: New York Times, Wall Street Journal, 9to5Google, TechCrunch.