Um estudo feito pelos pesquisadores Karsten Nohl e Jakob Lell da empresa Security Research Labs (SRL) afirma que alguns fabricantes de celulares com o sistema Android deixam de incluir atualizações para algumas falhas de segurança nos pacotes de correção que deviam trazê-las. Dessa forma, mesmo um celular que esteja com determinado “nível do patch de segurança” ainda pode estar vulnerável a falhas que foram corrigidas naquele patch ou em patches anteriores.A exploração de falhas de segurança em celulares é bastante rara. Mas, dependendo da gravidade dos problemas existentes, criminosos poderiam disseminar aplicativos maliciosos em vídeos, fotos, páginas web ou até conexões Wi-Fi, sem que a vítima tivesse que autorizar a instalação do aplicativo. Em outro cenário, uma falha pode permitir burlar a tela de bloqueio do aparelho, dispensando a digitação da senha configurada, por exemplo.Como o estudo identificou divergências entre as correções de segurança que o celular diz estarem instaladas e o que foi de fato instalado, a pesquisa de Nohl e Lell se concentrou na complicada tarefa de determinar exatamente quais atualizações estão presentes no celular. O projeto foi apresentado no evento Hack in the Box em Amsterdã, na Holanda. O evento terminou nesta sexta-feira (13).Os dados levantados apontam que aparelhos das marcas Google, Samsung, Sony e Wiko são os que menos deixam atualizações de lado. Xiaomi, OnePlus e Nokia pertencem à lista de marcas que deixaram de incluir até 3 atualizações. Em seguida estão as marcas que esqueceram de até 4 remendos: Motorola, LG, HTC, Huawei. Em último lugar estão as fabricantes TCL e ZTE.Para quem quiser checar o próprio celular, é preciso baixar o aplicativo SnoopSnitch na Play Store e acionar a opção “Android patch level analysis”. Em seguida, deve-se tocar em “Start test”. Deve-se observar o número referente a “Patch missing”.Falta de atualização não indica vulnerabilidadeAs atualizações de segurança do Android são organizadas em pacotes mensais. O estudo aponta que alguns fabricantes removem certos itens desses pacotes, o que poderia manter um aparelho vulnerável mesmo quando ele está atualizado.Em alguns casos, a remoção de um item pode ser feita porque o componente que seria atualizado não existe no celular. Nesses casos, mesmo que a atualização não seja instalada, o aparelho permanece imune porque não possui o recurso.Nível de patch de segurançaO “patch de segurança” do Android é um tipo de atualização que corrige somente problemas ligados à segurança e estabilidade do sistema operacional. Diferente das atualizações de versão (do Android 7.0 para 7.1, por exemplo), o “patch” não inclui novas funcionalidades ao celular. O nível do patch instalado em seu celular pode ser conferido na tela “Configurar” do telefone, em “Sistema”> “Sobre o dispositivo”.A versão do patch é informada por data. “Março de 2018”, por exemplo, deve incluir todas as atualizações de segurança até março de 2018.O Google lança um patch para o Android todo mês desde agosto de 2015. Isso significa que celulares com nível de patch de segurança de dois meses atrás já estão desatualizados. O que os pesquisadores identificaram, porém, abre a possibilidade para que mesmo aparelhos com o patch mais recente estejam sem alguma das correções incluídas nos pacotes.Google Play ProtectA distribuição das atualizações sempre foi um desafio para o Android. Na época do Android 2, não era incomum que telefones recebessem uma ou duas atualizações para depois serem abandonados, ficando, ao mesmo tempo, sem novos recursos e sem as correções de segurança.O “nível do patch de segurança” foi um meio encontrado pelo Google para criar uma rotina mensal de atualizações, semelhante ao adotado por outras fabricantes de software, para que os fabricantes e operadoras pudessem criar um procedimento comum e frequente para atualizações mais simples. Como o sistema em si não muda com o nível de patch de segurança, são necessárias poucas adaptações.A mais recente iniciativa do Google é o Play Protect, uma marca que inclui um antivírus acoplado ao Android pelo Google Play e a certificação de aparelhos para que consumidores possam ter mais certeza sobre a confiabilidade de um telefone celular.Todas as marcas testadas pelos pesquisadores são parceiras do Google que produzem aparelhos certificados, mas ainda é possível que alguns dos telefones testados não fazem parte da lista de modelos certificados pelo Google.O Google afirmou que ainda vai analisar os dados dos pesquisadores para determinar o que exatamente está ocorrendo.***O PDF com a apresentação dada pelos pesquisadores pode ser baixado no site da Hack in the Box (aqui, em inglês) Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
‘Patch’ para Android não garante atualização de segurança, diz estudo
Um estudo feito pelos pesquisadores Karsten Nohl e Jakob Lell da empresa Security Research Labs (SRL) afirma que alguns fabricantes de celulares com o sistema Android deixam de incluir atualizações para algumas falhas de segurança nos pacotes de correção que deviam trazê-las. Dessa forma, mesmo um celular que esteja com determinado “nível do patch de segurança” ainda pode estar vulnerável a falhas que foram corrigidas naquele patch ou em patches anteriores.A exploração de falhas de segurança em celulares é bastante rara. Mas, dependendo da gravidade dos problemas existentes, criminosos poderiam disseminar aplicativos maliciosos em vídeos, fotos, páginas web ou até conexões Wi-Fi, sem que a vítima tivesse que autorizar a instalação do aplicativo. Em outro cenário, uma falha pode permitir burlar a tela de bloqueio do aparelho, dispensando a digitação da senha configurada, por exemplo.Como o estudo identificou divergências entre as correções de segurança que o celular diz estarem instaladas e o que foi de fato instalado, a pesquisa de Nohl e Lell se concentrou na complicada tarefa de determinar exatamente quais atualizações estão presentes no celular. O projeto foi apresentado no evento Hack in the Box em Amsterdã, na Holanda. O evento terminou nesta sexta-feira (13).Os dados levantados apontam que aparelhos das marcas Google, Samsung, Sony e Wiko são os que menos deixam atualizações de lado. Xiaomi, OnePlus e Nokia pertencem à lista de marcas que deixaram de incluir até 3 atualizações. Em seguida estão as marcas que esqueceram de até 4 remendos: Motorola, LG, HTC, Huawei. Em último lugar estão as fabricantes TCL e ZTE.Para quem quiser checar o próprio celular, é preciso baixar o aplicativo SnoopSnitch na Play Store e acionar a opção “Android patch level analysis”. Em seguida, deve-se tocar em “Start test”. Deve-se observar o número referente a “Patch missing”.Falta de atualização não indica vulnerabilidadeAs atualizações de segurança do Android são organizadas em pacotes mensais. O estudo aponta que alguns fabricantes removem certos itens desses pacotes, o que poderia manter um aparelho vulnerável mesmo quando ele está atualizado.Em alguns casos, a remoção de um item pode ser feita porque o componente que seria atualizado não existe no celular. Nesses casos, mesmo que a atualização não seja instalada, o aparelho permanece imune porque não possui o recurso.Nível de patch de segurançaO “patch de segurança” do Android é um tipo de atualização que corrige somente problemas ligados à segurança e estabilidade do sistema operacional. Diferente das atualizações de versão (do Android 7.0 para 7.1, por exemplo), o “patch” não inclui novas funcionalidades ao celular. O nível do patch instalado em seu celular pode ser conferido na tela “Configurar” do telefone, em “Sistema”> “Sobre o dispositivo”.A versão do patch é informada por data. “Março de 2018”, por exemplo, deve incluir todas as atualizações de segurança até março de 2018.O Google lança um patch para o Android todo mês desde agosto de 2015. Isso significa que celulares com nível de patch de segurança de dois meses atrás já estão desatualizados. O que os pesquisadores identificaram, porém, abre a possibilidade para que mesmo aparelhos com o patch mais recente estejam sem alguma das correções incluídas nos pacotes.Google Play ProtectA distribuição das atualizações sempre foi um desafio para o Android. Na época do Android 2, não era incomum que telefones recebessem uma ou duas atualizações para depois serem abandonados, ficando, ao mesmo tempo, sem novos recursos e sem as correções de segurança.O “nível do patch de segurança” foi um meio encontrado pelo Google para criar uma rotina mensal de atualizações, semelhante ao adotado por outras fabricantes de software, para que os fabricantes e operadoras pudessem criar um procedimento comum e frequente para atualizações mais simples. Como o sistema em si não muda com o nível de patch de segurança, são necessárias poucas adaptações.A mais recente iniciativa do Google é o Play Protect, uma marca que inclui um antivírus acoplado ao Android pelo Google Play e a certificação de aparelhos para que consumidores possam ter mais certeza sobre a confiabilidade de um telefone celular.Todas as marcas testadas pelos pesquisadores são parceiras do Google que produzem aparelhos certificados, mas ainda é possível que alguns dos telefones testados não fazem parte da lista de modelos certificados pelo Google.O Google afirmou que ainda vai analisar os dados dos pesquisadores para determinar o que exatamente está ocorrendo.***O PDF com a apresentação dada pelos pesquisadores pode ser baixado no site da Hack in the Box (aqui, em inglês) Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com