“O coração dos celulares sangra”: Pesquisador encontra falha maciça de segurança no Android
A maior força do Android é ter o código livre, uma flexibilidade que deu abertura para espalhá-lo e estar presente em 4 de cada 5 Smartfones no mundo.
Mas essa abertura, pode ser, as vezes, a sua grande fraqueza. Esta fragilidade foi demonstrada na segunda-feira quando Joshua Drake, pesquisador da empresa de segurança Zimperium, revelou um buraco no código-fonte do Android que os hackers podem explorar com extrema facilidade: Se eles têm o número de um telefone, tudo o que precisa ser feito é enviar uma mensagem de texto. O bug, apelidado de “Stagefright”, abriga as “piores vulnerabilidades do Android descobertos até hoje”, a empresa escreveu.
É um hack particularmente mal-intencionado, pois pode comprometer o dispositivo sem se manifestar, onde o proprietário é o ultimo a saber. E para a Google, consertá-lo em grande parte está fora do seu controle.
“Isto é como se fosse o coração do celular sangrando”, disse Chris Wysopal, o CTO da Veracode, referenciando o bug de segurança formidável que surgiu no ano passado. “É uma espécie de Santo Graal de ataques a telefones, onde não há nenhuma interação do usuário.”
A Google confirmou a existência da falha, e disse que notificou seus parceiros de hardware e de telecomunicações. Até o momento, parece que nenhum dispositivo Android sofreu com a falha.
“Agradecemos a Joshua Drake por suas contribuições”, disse um porta-voz da Google em um comunicado. “A segurança dos usuários do Android é extremamente importante para nós e por isso respondemos rapidamente, e as correções já foram fornecidas aos parceiros que podem ser aplicadas a qualquer dispositivo.”
E são esses parceiros numerosos que deixam Android particularmente vulnerável. Ao contrário da Apple, o Android deixa suas atualizações para os fabricantes de dispositivos, que é então obrigado a implementá-las. A Apple enfrentou vulnerabilidades semelhantes no passado, mas eliminou todos eles recentemente através do seu controle firme sobre o sistema operacional, disse Wysopal.
Enquanto o Android tem tentado exercer mais controle sobre o hardware nos últimos anos, ainda tem de gerir muitas partes móveis de uma só vez. As falhas de segurança, como Stagefright, são particularmente frustrantes para a Google, já que ela precisa confiar nos seus parceiros de telecomunicação e os fabricantes de aparelhos, o que torna, por muitas vezes, mais lenta na absorção de novas atualizações.
Drake, o pesquisador, escreveu que o bug Stagefright afeta versões Android 2.2 ou superiores. Outros analistas de segurança sugerem que iterações com versões mais antigas do Jelly Bean 4.2, que normalmente são executados em dispositivos Android com hardware mais fracos são mais vulneráveis, uma vez que falta muita infraestrutura de segurança nas versões posteriores.
Wysopal sugeriu que o Google pode precisar implantar uma solução de cobertura. Pode algum tempo para se corrigir tal erro, ele disse, e deixa uma janela para os hackers se aproveitarem da falha. “Os fabricantes de hardware e as transportadoras são muito lentas, não tão rápido quanto a Google tem sido”, disse ele.
A capacidade de resposta da Google é parte de um movimento mais amplo para reforçar as credenciais de segurança dentro de Android, especialmente com a sua aplicação “sandbox” – é um software concebido para isolar o código e os dados em aplicativos individuais um do outro. “A maioria dos dispositivos Android, incluindo todos os dispositivos mais recentes, têm múltiplas tecnologias que são projetados para tornar a exploração mais difícil”, acrescentou a companhia em um comunicado.
A HTC enviou a seguinte declaração para NPR : “A Google informou a HTC da questão e desde então está fazendo as correções necessárias, que começaram a trabalhar em projetos no início de julho. Todos os projetos que vão adiante contem a correção necessária.” Disse T-Mobile a Re/code que está trabalhando com fabricantes de celulares para corrigir o bug também.
Drake planeja revelar sua investigação completa sobre Stagefright na conferência Black Hat nos EUA em agosto.
Essa é uma tradução livre feita por Suprimatec do texto de Mark Bergen publicado no site Re/code
♦♦♦♦♦♦♦♦♦♦