Google admite que milhões de smartphones Android estão vulneráveis
26 Novembro, 2022Entre o Android e as atualizações, é um pouco “eu amo-te, nem eu”. Durante anos, a questão da fragmentação e implantação de atualizações foi alvo de críticas. Implantação muito lenta e muito tardia ou total falta de atualização em determinados dispositivos; os males são muitos e os remédios demoram a chegar.
A Google, no entanto, está a aumentar os seus esforços para melhorar essa situação e tornar o seu sistema operativo mais seguro e atraente. Também vemos melhorias de algumas fabricantes, como é o caso da Samsung.
A empresa de Mountain View identifica regularmente novas falhas, graças em particular à sua equipa de especialistas do Project Zero. Responsável por encontrar vulnerabilidades de dia zero, agora alerta para a falta de esforço das fabricantes de equipamentos Android. Estes últimos são mais uma vez acusados de esperar demais para implantar patches após a descoberta de uma falha. Milhões de dispositivos permanecem vulneráveis, como mostra uma vulnerabilidade descoberta no driver dos chips gráficos do Mali.
Dois pesquisadores do Project Zero descobriram a existência de seis falhas no driver de GPU “Mali” da ARM. A primeira foi mencionada em junho de 2022 por Maddie Stone antes de Ian Beer, inspirado no trabalho do seu colega, descobrir cinco falhas adicionais.
Concretamente, a combinação dessas falhas permite – por injeção de código – obter acesso total ao sistema contornando as autorizações do Android. Para os invasores, a exploração dessas falhas permite o acesso aos dados de um utilizador. Contactada por especialistas da Google, a ARM corrigiu “rapidamente” os problemas em julho e agosto de 2022. A pepita britânica aproveitou para oferecer uma versão corrigida do driver.
Se a ARM rapidamente fechou essas brechas, cabe depois às fabricantes distribuir os patches para os seus dispositivos, e é precisamente aí que está o problema. No seu blog, os pesquisadores do Project Zero indicam que “descobriram que todos os nossos dispositivos de teste que usaram o Mali ainda são vulneráveis a esses problemas”. Eles acrescentam que “CVE-2022-36449 [patch lançado pela ARM] não é mencionado em nenhum boletim de segurança”.
Até a Google é um dos maus alunos no Android
Um problema real enquanto os GPUs do Mali estão presentes em muitos dispositivos Android. Eles estão presentes principalmente nos smartphones Samsung, Xiaomi, Oppo e até no Google Pixel. Até a fabricante americana, por trás da equipa do Project Zero, tem dificuldades para aplicar as recomendações dos seus próprios especialistas em segurança.
Além do alerta sobre essa falha, a mensagem do Project Zero é voltada principalmente para as fabricantes. “Recomenda-se que os utilizadores apliquem patches o mais rápido possível após a disponibilização de uma versão contendo atualizações de segurança, [mas] fabricantes e empresas também o fazem”, explica Ian Beer. E para concluir: “as empresas devem permanecer vigilantes, monitorizar de perto as fontes upstream e fazer o possível para fornecer correções completas aos utilizadores o mais rápido possível” .
Observe que o trabalho de Maddie Stone destaca a capacidade dos “hackers” de se concentrar nas falhas existentes. Ela indica que “cerca de 50%” das falhas de dia 0 observadas no primeiro semestre de 2022 eram variantes de vulnerabilidades já corrigidas.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
