Seja QuadRooter no início de 2016 ou Gooligan mais recentemente, a notícia está cheia de relatórios de terríveis vulnerabilidades de segurança do Android. Muitas vezes, eles são trazidos à luz pelas empresas de segurança com um produto para vender, e explodidos de toda a proporção pela grande imprensa.
Pesquisas como essa são um trabalho importante feito por pessoas muito inteligentes. Mas não se engane, o objetivo é aumentar a publicidade e (eventualmente) vender a você software de segurança. É por isso que as novas vulns do Android vêm com apelidos cativantes e às vezes até logotipos - principalmente na época das grandes conferências de hackers como Defcon e Black Hat. É uma história pré-empacotada que certamente atrairá a atenção, facilmente transformada em manchetes como "Usuários do Android, cuidado: mais de 900 milhões de smartphones são vulneráveis a esse hack incapacitante". (A propósito, esse foi o tablóide britânico The Mirror no QuadRooter.)
Isso parece assustador, mas é do interesse daqueles que divulgam (e, vamos ser honestos, a mídia on-line sedenta de cliques) agitar os braços e fazer com que pareça o mais ruim possível.
Existem muitos tipos de vulnerabilidades de software, e é quase impossível garantir que qualquer software seja completamente impecável - especialmente em algo tão complexo quanto um smartphone. Mas vamos nos concentrar no malware baseado em aplicativo, pois esse é o vetor de ataque mais comum. A maneira mais simples de os bandidos fazerem coisas ruins no telefone ou nos dados é instalar um aplicativo mal-intencionado. O aplicativo pode usar vulnerabilidades no sistema operacional para dominar seu dispositivo, roubar seus dados, custar dinheiro ou qualquer outra coisa.
Quando uma vulnerabilidade de segurança surge no iOS, a Apple lança uma atualização de software e ela é corrigida. Devido ao controle completo que a Apple tem sobre o iPhone, isso significa que os dispositivos são corrigidos rapidamente, e tudo está bem.
No iPhone, tudo o que importa vive dentro do sistema operacional. No Android, ele é dividido entre o SO e o Play Services.
No Android, não é tão simples. O Google não atualiza diretamente o firmware nos mais ou menos bilhões de telefones Android existentes no mercado, e por isso apenas um pequeno punhado está executando a versão mais recente do sistema operacional. Mas isso não significa que eles precisam perder novos recursos, APIs e proteção contra malware.
O Google Play Services é um aplicativo no nível do sistema, atualizado em segundo plano pelo Google em todos os telefones Android desde o lançamento do Gingerbread de 2010. Além de fornecer APIs que permitem que os desenvolvedores interajam com os serviços do Google e transportar muitos recursos para versões mais antigas do Android, o Play Services tem um papel importante na segurança do Android.
O recurso "Verificar aplicativos" do Play Services é o firewall do Google contra malware baseado em aplicativo. Foi introduzido em 2012 e ativado primeiro por padrão no Android 4.2 Jelly Bean. No momento da redação deste artigo, 92, 4% dos dispositivos Android ativos executavam a versão 4.2 e posterior, e as versões mais antigas podem ativá-lo manualmente no aplicativo Configurações do Google.
O Verify Apps funciona de maneira semelhante a um scanner de vírus de PC tradicional: sempre que o usuário instala um aplicativo, o Verify Apps procura códigos maliciosos e explorações conhecidas. Se eles estiverem lá, o aplicativo será totalmente bloqueado - uma mensagem será exibida dizendo "A instalação foi bloqueada". Em outros casos, menos suspeitos, uma mensagem de aviso pode ser exibida, com a opção de instalar de qualquer maneira. (E a Verify Apps também pode ajudar a remover malware conhecido que já foi instalado.)
Embora a exploração subjacente ainda esteja lá, isso torna impossível para os bandidos aproveitarem as vulnerabilidades depois que elas vierem à tona. Com o Play Services atualizando constantemente em segundo plano basicamente toda a base de usuários do Google Android, assim que uma grande vulnerabilidade é relatada ao Google (muitas vezes antes que o público ouça sobre isso), ela é corrigida pelos aplicativos de verificação.
O Verify Apps é a última linha de defesa, mas é altamente eficaz.
Embora o método seja diferente em comparação ao iOS, o resultado é o mesmo. O proprietário da plataforma atualiza sua segurança - Apple através de uma atualização do sistema operacional, Google através do Play Services - e os usuários estão protegidos. Você pode argumentar o dia inteiro sobre qual é o melhor ou mais robusto, mas o fato de ainda não vermos o local do malware previsto para Android indica que o método do Google está funcionando muito bem. Isso não quer dizer que outras etapas, como as atualizações mensais de segurança do Google, não sejam importantes. Embora o Verify Apps seja a última linha de defesa, é muito eficaz.
Vamos dar um passo ainda mais longe - para chegar ao ponto de instalar um aplicativo mal-intencionado, o usuário teria que desativar a caixa de seleção "fontes desconhecidas" para permitir a instalação de aplicativos fora da Google Play Store. Para a maioria das pessoas, isso não é algo que elas fazem. Os aplicativos vêm da Play Store, e é isso. O Google controla e seleciona aplicativos na Play Store e verifica continuamente aplicativos nefastos. Se você instalar apenas aplicativos a partir daí, geralmente estará bem.
Relatos sem fôlego mencionando centenas de milhões de dispositivos Android vulneráveis não mencionam nada disso, é claro. No caso das vulnerabilidades do QuadRooter, por exemplo, supondo que você esteja em uma versão afetada do Android, primeiro é necessário desativar a caixa de seleção "fontes desconhecidas" e depois acessar Configurações do Google> Segurança e desativar a verificação de aplicativos. Então, se você decidisse baixar e instalar um aplicativo infectado em um canto nefasto da Internet, seria afetado. Esses não são os passos que a maioria das pessoas toma, nem são coisas que acontecerão por conta própria.
É o equivalente digital de escancarar a porta, jogar as chaves na calçada e erguer uma grande placa em seu gramado dizendo "Coisas grátis por dentro, entre".
Isso não quer dizer que não tenha havido um ou dois problemas de segurança genuinamente ameaçadores nos últimos anos. O pior até o momento foi o Stagefright, que levou o Google a estabelecer seu regime de patches mensais de segurança. O Stagefright foi particularmente ruim porque poderia afetar os telefones apenas ao reproduzir arquivos de mídia. Há uma grande diferença entre isso e malware na forma de um aplicativo que precisa ser instalado.
Quando se trata de algo na forma de um APK, as salvaguardas de segurança existentes do Android já protegem a grande maioria das pessoas, mesmo que não estejam na versão mais atualizada.
Então, esses relatórios sobre centenas de milhões de dispositivos Android sendo "vulneráveis" a isto ou aquilo? Em teoria, se você se esforçar para desativar todas as salvaguardas internas do Android, com certeza. No mundo real, nem tanto.
