Início » Antivírus e Segurança » Fabricantes estariam mentindo sobre patches de segurança no Android

Fabricantes estariam mentindo sobre patches de segurança no Android

Emerson Alecrim Por

Segurança é assunto sério, por isso, é recomendável instalar as atualizações do seu smartphone assim que elas forem disponibilizadas. Mas isso não quer dizer, necessariamente, que o problema focado ali será solucionado: uma extensa investigação conduzida pela alemã Security Research Labs (SRL) indica que muitos updates para Android disponibilizados por diversos fabricantes têm correções ausentes.

Karsten Nohl e Jakob Lell são os pesquisadores da SRL que conduziram a investigação. Eles usaram engenharia reversa e outras técnicas durante dois anos para analisar os firmwares de 1.200 smartphones de mais de dez marcas, incluindo Samsung, Motorola, HTC, Xiaomi e ZTE. A linha Pixel, do Google, também foi testada.

Droid Android

Mais detalhes a respeito do assunto, incluindo modelos afetados, devem ser liberados na conferência sobre segurança Hack in the Box, marcada para esta sexta-feira (13). Mas os pesquisadores adiantaram à Wired que, em muitos casos, os fabricantes informam na descrição do update que o aparelho está recebendo correções liberadas em determinado período quando, na verdade, muitas delas inexistem.

Embora com menor frequência, a SRL também afirma ter encontrado dispositivos que não receberam atualizações. Nesses casos, os fabricantes teriam simplesmente adiado a data de entrega do pacote.

Tendo como base de comparação aparelhos que receberam pelo menos um pacote de atualizações em outubro de 2017 ou depois, a SRL afirma que o problema é mais frequente em dispositivos de marcas chinesas, mas unidades de companhias renomadas, como Samsung e o próprio Google, também deixam de receber determinadas atualizações:

  • Média de quatro ou mais patches faltantes: TCL e ZTE
  • De três ou quatro: HTC, Huawei, LG e Motorola
  • De um a três: Xiaomi, OnePlus, Nokia
  • De zero a um: Google, Sony, Samsung e Wiko

Os pesquisadores também afirmam que celulares com chips da Samsung têm menos patches faltantes. No outro extremo estão unidades com processadores da MediaTek:

  • Samsung: média de 0,5 patches faltantes
  • Qualcomm: 1,1
  • HiSilicon: 1,9
  • MediaTek: 9,7

De modo geral, dispositivos mais baratos são os mais negligenciados. Dando um exemplo, a SRL afirma que, enquanto o Galaxy J5 2016 relata corretamente todas as correções instaladas, no Galaxy J3 2016 há informação de que patches lançados em 2017 foram todos disponibilizados, quando 12 estão faltando, dois deles considerados críticos.

Galaxy J3 2016

Galaxy J3 2016

Procurada pela Wired, o Google explicou que muitos dos aparelhos analisados pela SRL não possuem certificação do Android, o que significa que essas unidades não estão sujeitas aos padrões de segurança estabelecidos pela companhia.

O Google também afirmou que smartphones mais recentes têm recursos de segurança que dificultam invasões mesmo quando há brechas não corrigidas e que, em alguns casos, patches estão faltando simplesmente porque o fabricante decidiu remover o recurso vulnerável em vez de corrigí-lo.

A companhia admite, no entanto, que a pesquisa da SRL é importante e que mais análises além daquelas que são realizadas por padrão podem ser necessárias. Convém esperar o Hack in the Box para que a extensão do problema seja conhecida.

Para quem quiser descobrir a situação do seu smartphone, a SRL disponibilizou o aplicativo SnoopSnitch, que analisa o firmware do aparelho para encontrar correções instaladas e ausentes.

Mais sobre: , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Baidu feat MC Brinquedo
Você não entendeu a piada.O texto acima mencionado foi lançado por um Fake no Gizmodo. Que perdurou por muito tempo como um meme (junto com o texto do 'programador nato').
Valentina ✓ᵛᵉʳᶦᶠᶦᵉᵈ
nem sempre moleques, hnnnMas enfim, nesse ponto tb tenho nada a reclamar, essas matérias de "coisas simples" são importantes também. Não pro publico alvo do tecnoblog, mas pro pessoal que precisa fazer algo simples não ir parar no tecmundo --- esse sim um site triste, que explica bem mal essas coisas.
Thiago Silva
Meu ResultadoSamsung J5 Pro - Stock Rom (7.0)Patched: 123Patch Missing: 2After Claimed patch level: 15Test inconclusive: 8Not affected: 0
Baidu feat MC Brinquedo
Triste o nível de comentários, local onde esperava-se encontrar vida inteligente para debater sobre o assunto das matérias ou expor a opinião mesmo que divergente, mas o que se vê são moleques se degladiando com suas asneiras sem base e de mente totalmente vazia...Uma pena.
Geraldo Lopes
O Gizmodo é foda... os caras só de zoeira nos comentários. Nem perco meu tempo lendo os comentários...
Kodos Otros
Proce ver, esses comentaristas vem pra ca e querem pagar de intelectuais.
DeadPull
Meu resultado:Patched: 148Patch Missing: 0After Claimed patch level: 0Test inconclusive: 77Not affected: 0Galaxy S7 Flat com Android Nougat 7.0
André G
Sim, mas na hora não lembrei do nome e coloquei o que veio na cabeça.
Baidu feat MC Brinquedo
Aqui não é gizmodo querida!
johndoe1981
Não é rebimboca?
thiagorsr
"em alguns casos, patches estão faltando simplesmente..."Criando regra na exceção?
Abraão Caldas
Porque os security patches não são granulares, você diz que tem o patch de janeiro de 2017 do android por exemplo, mas não diz cada uma das correções daquele pacote.O que o Google confirmou já é o esperado, se a feature não existe eles simplesmente removem o patch do pacote completo porque ele não é aplicável, mas você continua atualizado com o patch de janeiro de 2017 por exemplo.Só que eles falam de uma forma que parece mais grave do que é.
Eric Viana
One Plus 5Patched 49Patch Missing 0After claimed 0Test inconclusive 5 (1 de denial of service, 4 de elevation of privileges)Not Affected 0
Jonas
LG g4 com a rom nougat que a LG ia lançar e acabou deixando abandonadaPatched132Patch missing1After claimed patch level61Test inconclusive31
Cortana ✔
Que novidade.
Paulo Andador
Meu resultado....Patched: 135Patch Missing: 2After Claimed patch level: 0Test inconclusive: 11Not affected: 0Moto G4 Plus (Nougat 7.0 stock)
X-Tudãoᴳᴼᵀ
Zenfone 343 patched11 inconclusive
Kodos Otros
Não vai ter piada?
Kodos Otros
Mi Mix 2 com a Global ROM:41 Patched13 Inconclusivepatch Level: 01/03/2018
Kodos Otros
Num reclama não pq aqui num tem notícias de cobre derretido em coco.
Andre Kittler
Claro que é, por isso me esforcei em ser politicamente correto e dizer da forma mais sutil que é meio chato de ver. Mas realmente questiono se é um novo foco.É que por outro lado, olha como está o RSS nas ultimas 24h +/- - www.upl.co/uploads/vivaldi2...
Seraph
Até medo de testar no meu Ulefone kkkk
Programador Front-End
Mas se a empresa removeu o recurso, por que colocaria o patch em falta na lista de atualizações que foram feitas? Não seria mais fácil já falar a verdade de uma vez?
Programador Front-End
Inclusive os reviews de produtos que o Tecnoblog faz são de excelente qualidade e presumo que demandem um custo alto para serem feitos. Se pra manter isso precisar de umas "notícias fracas" no meio tempo, ta valendo!
Felipe Xavier
O meu teste foi em Redmi Note 3, com MIUI (sistema padrão da Xiaomi), pois a matéria é sobre as fabricantes negligenciarem os patches.
Ed. Blake
O mesmo teste num Redmi Note 4 rodando rom customizada: 0 incoerências com o patch de segurança.
Felipe Xavier
Resultado com um Xiaomi de 2016:134 Patched6 Missing72 InconclusiveParece que estou com uma bomba-relógio. Quase todos testes inconclusivos são os mais recentes e a respeito de Execução Remota.
Ed. Blake
Este é um dos motivos (fora a diversão) de usar ROMs customizadas de código aberto (baseadas no AOSP ou LineageOS).As comunidades de código aberto tem mais responsabilidade do que fabricantes neste quesito.Verifiquei meu telefone com no SnoopSnitch e nenhuma incoerência foi encontrada em relação ao patch de segurança.
Felipe Xavier
Sendo muito sincero e não buscando "treta", mas não é mais fácil ignorar essas notícias?Como disseram, elas sequer aparecem na home, não são compartilhadas no Facebook e só aparecem pra quem segue por feed.Já parou pra pensar que a escassez de notícias pode ser pelo simples fato de não ter notícias referentes a tecnologia (ou ao menos notícias que valham ser compartilhadas)?Se a qualidade editorial e transparência continuar, o que ao meu ver não foi alterada, tô bem de boas com esses outros posts ~iniciantes e fracos~. Nem acho que "precisam ser mais claros" sobre isso. #pas
Diogo
Essas notícias "fracas" (na realidade tutoriais e guias) não aparecem na página inicial, só no RSS. O que me faz pensar, que eles estão fazendo isso pra "angariar" visitas de quem busca essas coisas no Google. Não vejo isso como uma coisa ruim, mas o Tecnoblog podia ser mais claro a respeito desses posts.
Abraão Caldas
"patches estão faltando simplesmente porque o fabricante decidiu remover o recurso vulnerável em vez de corrigí-lo."99% das pessoas não vão ler essa parte.
Fabiano Forte
Passei o programa no meu celular (Moto Z Play) e está faltando um patch só (embora ele mostre resultados "inclusivos" para novembro passado).Por precaução, vou acender uma vela para Santa Efigênia.
Andre Kittler
Android: ou não recebe segurança, ou recebe mas na verdade é mentira, nunca recebeu. Tem de amar o google (ops.. ele nunca é o culpado...). ... tem de amar esses fabricantes.Mas ainda assim, realisticamente eu apenas usaria IOS se ganhasse gratuito um aparelho. E só por isso.Em um PS: esse site está sendo imundado com noticias fracas para usuários iniciantes, e parece que isso vem aumentando. No meio ainda aparecem essas interessantes - mas cada vez mais escassas na poluição.É um novo foco que vocês pretendem manter?
André G
É tipo o mecânico que fala "tive que trocar a rebimbela da parafuseta" mas não trocou porra nenhuma, só finge que trocou.