Google diz que também consertou “muitas” das falhas expostas em vazamento da CIA
Porém, especialistas afirmam que versões antigas do Android continuam em risco
Um vazamento de 9 mil documentos secretos da CIA mostrou como a agência de espionagem usa smartphones e até smart TVs para obter informações. A Apple diz que seus usuários não correm perigo e que muitas falhas de segurança no iOS encontradas em documentos do Vault 7 já foram consertadas; agora é a vez do Google.
Em nota enviada ao Recode, Heather Adkins, diretora de segurança e privacidade da informação, disse que está confiante que atualizações de segurança presentes no Chrome e no Android já protegem os usuários de “muitas” das vulnerabilidades vazadas. Adkins afirmou que eles estão analisando ambas as plataformas e, caso necessário, vão implementar outras proteções.
Nos documentos, foi documentada a invasão de aparelhos que rodam Android entre 2013 e 2016, com 24 formas diferentes descritas de invadir o sistema. Não se sabe, no entanto, se Androids mais antigos também estão seguros: segundo a Forbes, os documentos da CIA mostram “dúzias” de vulnerabilidades em versões mais antigas, como a 4.4 KitKat.
Esse é um dado preocupante. Os relatórios especificam invasões em smartphones como o Samsung Galaxy S5 e o Note 3, que foram lançados com o KitKat ou Jelly Bean – versões nas quais muitos aparelhos se encontram hoje. De acordo com dados do Google, 21% dos Androids ainda estão na versão 4.4 KitKat, 33% na Lollipop (5.0/5.1), 31% na 6.0 Marshmallow e apenas 2,8% na última versão, o Nougat (7.0/7.1).
Além disso, de acordo com especialistas ouvidos pelo New York Times, há dois problemas que pairam sobre acabar com essas vulnerabilidades. Um é o acesso ao código em si, já que a CIA e o Wikileaks estão sentando em cima das falhas de segurança, mas não apresentam o software malicioso às gigantes de tecnologia. Sem muita profundidade, não dá pra fazer muita coisa em um período curto de tempo.
Sim, existe uma forma de empresas pedirem para a CIA apresentar essas falhas de segurança, chamado VEP (Processo de Equidades de Vulnerabilidades, em inglês), mas é um processo burocrático e que demanda muito tempo. A Cisco, que teve roteadores explorados pela CIA, disse que, sem acesso mais detalhado ao código-fonte das ferramentas usadas pela agência americana, não consegue fazer muita coisa.
Outro problema é a incerteza do que vem por aí. Segundo o Wikileaks, esses quase 9 mil documentos são apenas 1% do total. Eles pretendem fazer outros sete grandes vazamentos ao longo do ano. Basicamente, os sistemas explorados podem estar seguros agora, mas não muito. Alguns, inclusive, podem estar vulneráveis até hoje. E só nos resta esperar pelos próximos capítulos.
Com informações: New York Times, Wall Street Journal, 9to5Google, TechCrunch.
