Fabricantes de dispositivos Android estão mentindo sobre distribuir patches de segurança

O Android sempre foi um alvo preferencial de hackers, espertinhos e pragas diversas, principalmente por ser o sistema móvel mais utilizado mas também porque o Google e fabricantes vacilam mais do que deveriam. Frequentemente a Google Play Store faz uma faxina, identifica e remove apps maliciosos da lojinha mas para manter o software satisfatoriamente blindado, é preciso comprometimento de todos os envolvidos (usuários inclusos).

É sempre importante instalar os patches e atualizações de segurança tão logo sejam disponibilizados, mas mesmo isso não garante total proteção em especial quando alguém é incompetente ou mal intencionado, ou os dois. Foi o que a empresa alemã de segurança Security Research Labs (SRL) descobriu após uma extensa investigação e revelou que muitos desses updates não são o que dizem ser.

Durante dois anos, os pesquisadores Karsten Nohl e Jakob Lell verificaram cerca de 1.200 firmwares diferentes em dispositivos Android de fabricantes como Samsung, Motorola, LG, Sony, OnePlus, Huawei e HTC, bem como as menos conhecidas TCL, Vivo e ZTE e até a linha Pixel, do próprio Google. Eles utilizaram diversas técnicas, inclusive engenharia reversa e descobriram que embora os fabricantes informem na descrição das atualizações que estão incluindo patches de segurança para corrigie certos bugs, na verdade eles não estão lá.

Ou seja, estão mentindo descaradamente e deixando tais dispositivos desprotegidos, com o usuário experimentando uma falsa e perigosa sensação de segurança.

A SLR diz que o problema é mais comum em aparelhos de companhias chinesas (como era de se esperar), mas no geral todos mentem e alguns pesos pesados da indústria contam com números altos de pacotes faltando, como LG e Motorola. A média de patches ausentes em dispositivos é a seguinte, tendo como base aparelhos que receberam pelo menos uma atualização de segurança a partir de outubro de 2017:

• Google Pixel, Samsung, Sony e Wiko: média de zero a um patch ausente;
• OnePlus, Nokia e Xiaomi: de um a três;
• LG, Motorola, HTC e Huawei: entre três e quatro;
• TCL e ZTE: quatro ou mais.

A SLR também analisou os patches de segurança baseados em hardware, especificamente os SoCs e constatou algo que muita gente já afirmava há tempos: a MediaTek não é confiável. Por outro lado a Samsung é a com a menor incidência de patches ausentes, mas continua não sendo zero:

• Samsung: média de 0,5 patch ausente;
• Qualcomm: 1,1 patch;
• HiSilicon: 1,9 patch;
• MediaTek: 9,7 patches.

Como esperado, quanto mais barato o dispositivo mais vulnerável ele é: a SLR comparou dois smartphones da Samsung, o Galaxy J5 (2016) e o Galaxy J3 (2016). Enquanto o primeiro possuía todas as atualizações listadas corretamente, o segundo não contava com 12 patches lançados em 2017 que a fabricante informou ter liberado. Apenas disse que instalou, mas não o fez.

O Google deu uma de João-sem-braço e disse que muitos dos aparelhos analisados pela SLR não possuem certificação do Android (o que não é bem verdade, se olharmos para os dois mencionados acima ou para os da LG e Motorola, que possuem sérios problemas nesse sentido) e que dispositivos mais recentes possuem defesas que impedem invasões mesmo quando um patch está ausente, mas admite que a pesquisa é importante e que mais e melhores análises poderão ser necessárias daqui por diante.

A SLR deverá dar mais detalhes na conferência Hack in the Box que será realizada hoje (13/04) em Kuala Lumpur, Malásia, inclusive oferecendo uma lista completa de todos os dispositivos que analisou e que estão vulneráveis por negligência dos fabricantes, mas você já pode descobrir se está seguro ou não: a empresa de segurança disponibilizou um app chamado SnoopSnitch, capaz de checar o firmware e verificar quais correções estão de fato instaladas, e quais deveriam estar. Vale a conferida.

Fonte: Wired.