Atualização, 13 de abril: o Google entregou a seguinte declaração ao Verge:
Gostaríamos de agradecer a Karsten Nohl e Jakob Kell por seus esforços contínuos para reforçar a segurança do ecossistema do Android. Estamos trabalhando com eles para melhorar seus mecanismos de detecção, a fim de levar em conta situações em que um dispositivo usa uma atualização de segurança alternativa em vez da atualização de segurança sugerida pelo Google. As atualizações de segurança são uma das muitas camadas usadas para proteger usuários e dispositivos Android. As proteções de plataforma incorporadas, como sandboxing de aplicativos e serviços de segurança, como o Google Play Protect, são igualmente importantes. Essas camadas de segurança - combinadas com a enorme diversidade do ecossistema Android - contribuem para as conclusões dos pesquisadores de que a exploração remota de dispositivos Android continua desafiadora.
Os patches perdidos certamente tornam seu telefone mais vulnerável em comparação aos que estão atualizados, mas mesmo assim, isso não significa que você esteja totalmente desprotegido. As correções mensais definitivamente ajudam, mas existem medidas gerais para garantir que todos os telefones Android tenham algum nível de segurança aprimorada.
Uma vez por mês, o Google atualiza o Boletim de segurança do Android e lança novos patches mensais para corrigir vulnerabilidades e bugs assim que eles aparecem. Não é segredo que muitos OEMs demoram a atualizar seu hardware com os referidos patches, mas agora foi descoberto que alguns deles afirmam ter atualizado seus telefones quando, de fato, nada mudou.
Essa revelação foi feita por Karsten Nohl e Jakob Lell, do Security Research Labs, e suas descobertas foram recentemente apresentadas na conferência de segurança Hack in the Box deste ano, em Amsterdã. Nohl e Lell examinaram o software de 1200 telefones Android do Google, Samsung, OnePlus, ZTE e outros e, ao fazer isso, descobriram que algumas dessas empresas alteram a aparência do patch de segurança ao atualizar seus telefones sem realmente instalá-los.
O Galaxy J3 da Samsung de 2016 afirmou ter 12 patches que simplesmente não estavam instalados no telefone.
Espera-se que alguns dos patches perdidos sejam feitos por acidente, mas Nohl e Lell encontraram alguns telefones nos quais as coisas simplesmente não correspondiam. Por exemplo, enquanto o Galaxy J5 da Samsung de 2016 listou com precisão os patches que possuía, o J3 do mesmo ano parecia ter todos os patches desde 2017, apesar da falta de 12 deles.
A pesquisa também revelou que o tipo de processador usado em um telefone pode afetar se ele é atualizado ou não com um patch de segurança. Verificou-se que os dispositivos com chips Exynos da Samsung tinham muito poucos patos ignorados, enquanto aqueles com os MediaTek tiveram uma média de 9, 7 patches ausentes.
Depois de passar por todos os telefones em seus testes, Nohl e Lell criaram um gráfico descrevendo quantos patches os OEMs perderam, mas ainda afirmavam ter instalado. Empresas como Sony e Samsung perderam apenas entre 0 e 1, mas descobriu-se que TCL e ZTE estavam pulando 4 ou mais.
- 0-1 patches perdidos (Google, Sony, Samsung, Wiko)
- 1-3 patches perdidos (Xiaomi, OnePlus, Nokia)
- 3-4 patches perdidos (HTC, Huawei, LG, Motorola)
- 4+ patches perdidos (TCL, ZTE)
Logo depois que essas descobertas foram anunciadas, o Google disse que iniciaria investigações sobre cada um dos OEMs culpados para descobrir o que exatamente está acontecendo e por que os usuários estão mentindo sobre quais patches eles fazem e não têm.
Mesmo com isso dito, qual sua opinião sobre isso? Você está surpreso com as notícias e isso terá um impacto nos telefones que você compra daqui para frente? Som desligado nos comentários abaixo.
Por que ainda estou usando um BlackBerry KEYone na primavera de 2018
