Breaking News

Falha no Android servirá para medir compromisso de fabricantes

Um cenário nada agradável se materializou na semana passada por meio de um alerta da companhia de segurança Bluebox: todos os sistemas Android desde o 1.6 possuem uma grave falha de segurança que permite a um aplicativo alterar arquivos de sistema e, com isso, obter o controle total do aparelho e quaisquer permissões, mesmo aquelas que não são concedidas a aplicativos normais. A plataforma móvel do Google, já marcada pela falta de compromisso por parte de alguns fabricantes em manter o sistema atualizado, agora tem uma falha crítica e ainda não corrigida.

Diferente do que normalmente acontece em computadores, em que todos os aplicativos podem ter acesso aos dados de outros programas, cada software instalado no Android tem apenas acesso aos seus próprios dados e não pode acessar as informações de outros programas, nem modificá-los. Usando a falha, em alguns casos, qualquer informação poderia ser acessada.

A brecha está na verificação da assinatura digital dos aplicativos para Android. Quando um software já instalado é atualizado, o sistema verifica se a assinatura do programa novo coincide com o antigo, evitando assim que um software legítimo seja substituído por um malicioso. O que os especialistas descobriram é uma forma de alterar um software já instalado sem que assinatura apresente erro. O maior perigo reside na atualização dos componentes essenciais do sistema, que têm permissões maiores que aplicativos comuns.

Até o momento, apenas o Galaxy S4, da Samsung, recebeu uma correção, segundo a Bluebox. A linha Nexus deve receber uma atualização em breve, do próprio Google. Para qualquer outro aparelho, a responsabilidade cabe aos fabricantes.

Smartphones têm tido uma vida muita curta. Espera-se que pessoas troquem de aparelho a cada um ou dois anos, três no máximo. Mesmo assim, nada impede que falhas sejam encontradas em versões antigas do sistema operacional e qualquer um que não tiver condições de trocar de celular pode se ver em uma situação nada boa.

A esperança nesse caso está mais na forma de um possível exagero da Bluebox, descobridora da vulnerabilidade. A empresa, que é bastante nova – foi fundada em 2012 -, apresentará as informações técnicas da falha no final de julho, na conferência Black Hat – uma das mais importantes no ramo de segurança de sistemas de tecnologia. E eis aí o outro lado da balança: raramente algo apresentado na Black Hat não possui um bom mérito técnico.

Felizmente, a vulnerabilidade não permite que um software seja instalado remotamente no Android, como seria o caso se houvesse um erro no código do sistema que lida os rádios GSM, WiFi ou Bluetooth. É preciso antes que um aplicativo malicioso seja instalado pelo usuário, e essa instalação precisa ser feita fora da Google Play Store, porque aplicativos que tentariam explorar essa falha seriam automaticamente bloqueados pelo Google.

Em outras palavras, a vulnerabilidade não viabiliza uma nova forma de ataque, mas permite potencializar os ataques existentes, como os que são abrigados em lojas “alternativas” ao Google Play.

Se uma forma prática e simples de eliminar a falha não for desenvolvida, fabricantes terão de lançar atualizações de firmware, e usuários terão que aplicar essas atualizações. Será, talvez, o processo mais longo de criação, distribuição e aplicação de uma atualização de segurança desde o invento da internet.

Nenhum comentário

imagem de uma pessoa em frente a tela no notebook com a logo do serviço balcão virtual. Ao lado a frase indicando que o serviço