O ecossistema do Android está altamente comprometido quando se trata de segurança, e os fabricantes de dispositivos (mais conhecidos como OEMs) agravam ainda mais o fato de não fornecerem patches críticos a tempo.
De acordo com um novo estudo, a maioria dos fornecedores de Android mentiu aos usuários sobre atualizações de segurança e disse aos clientes que seus smartphones estão executando as atualizações mais recentes.
Em outras palavras, a maioria dos fabricantes de smartphones, incluindo grandes players como Samsung, Xiaomi, OnePlus, Sony, HTC, LG e Huawei, não estão entregando a você todos os patches de segurança que deveriam ter, um estudo de Karsten Nohl e Jakob Lell sobre segurança alemã. empresa Security Research Labs (SRL) revelou.
Nohl e Lell examinaram o firmware de 1.200 smartphones de mais de uma dúzia de fornecedores, para cada patch Android lançado no ano passado, e descobriram que muitos dispositivos têm uma “falha de remendo”, deixando partes do ecossistema Android expostas a hackers.
“Às vezes, esses caras apenas mudam a data sem instalar nenhum patch. Provavelmente por razões de marketing, eles apenas definem o nível de patch para uma data quase arbitrária, o que for melhor”, disse Nohl em entrevista à Wired.
O Google lança patches de segurança todos os meses para manter seu ecossistema Android seguro e protegido contra os riscos subjacentes, mas como todos os fabricantes e operadoras de celular modificam o sistema operacional para tornar o smartphone único, eles muitas vezes não aplicam todos esses patches a tempo.
Os pesquisadores da SRL investigaram smartphones que supostamente receberam e instalaram as últimas atualizações do Android e divulgaram o seguinte detalhamento de suas descobertas:
0-1 correções perdidas – Google, Sony, Samsung, Wiko Mobile
1-3 patches perdidos – Xiaomi, OnePlus, Nokia
3-4 correções perdidas – HTC, Huawei, LG, Motorola
4+ patches perdidos – TCL, ZTE
Especificamente, o resultado acima se concentrou em patches de segurança para vulnerabilidades de gravidade Crítica e Alta que foram lançadas em 2017.
Como mostrado acima, Google, Samsung, Wiko Mobile e Sony ainda estão fazendo muito bem na instalação de patches, mas outros, especificamente os fornecedores chineses como Xiaomi e OnePlus são piores em proteger seus clientes contra as mais recentes falhas de segurança.
A fim de abordar a questão da desigualdade de patches, o Google já lançou um projeto, chamado Treble, no qual a empresa trouxe algumas mudanças significativas para a arquitetura do sistema Android no ano passado para obter mais controle sobre o processo de atualização.
O Project Treble foi incluído como parte do Android 8.0 Oreo e foi projetado para separar o código de hardware principal do código do sistema operacional, eliminando as dependências dos OEMs para fornecer atualizações do Android mais rapidamente.
No entanto, mesmo que o seu dispositivo Android execute o sistema operacional Oreo 8.0, não é necessário que ele ofereça suporte ao projeto Treble, já que ainda cabe ao fabricante do dispositivo incluí-lo. Por exemplo, a atualização de firmware Oreo para dispositivos OnePlus ainda não suporta o Treble.
Mas novos dispositivos serão necessários para suportar o avanço do Treble.
Verifique seu dispositivo para “nível de patch”
Enquanto isso, a SRL desenvolveu um aplicativo chamado SnoopSnitch, que você pode baixar gratuitamente, para medir o nível de patch de seu próprio smartphone Android, ajudando você a verificar as declarações de fornecedores sobre a segurança de seus dispositivos.
