Eu já desconfiava deste tipo de coisa a um bom tempo mas parece que realmente alguns fabricantes não estão fornecendo os patches completos a dispositivos Android, o que torna boa parte dos nossos dispositivos expostos a riscos bem graves.

E isto foi descoberto pelos pesquisadores da Security Research Labs (SRL) que afirmam que o problema envolve grandes fornecedores incluindo HTC, Huawei e Motorola.

“Os telefones agora recebem atualizações mensais de segurança. A instalação dos patches todos os meses é um primeiro passo importante, mas ainda é insuficiente caso todas as correções relevantes não sejam incluídas nestas atualizações. Nosso grandes estudo sobre telefones Android mostra que a maioria dos fornecedores Android esquece de incluir alguns patches, deixando partes do ecossistema vulneráveis a riscos subjacentes”, diz o post publicado pela equipe da SRL.

Os especialistas da SRL, Karsten Nohl e Jakob Lell apresentaram as descobertas da pesquisa na conferência de segurança Hack in the Box em Amsterdã, na Holanda.

Os especialistas ressaltaram que mesmo que o Google consiga instalar alguns pacotes de segurança sem interação, em alguns casos, as correções afetam componentes de baixo nível como drivers e bibliotecas de sistema e esse processo precisa o envolvimento dos fabricantes.

Os especialistas explicaram que alguns dispositivos Android receberam apenas metade das atualizações mensais, em alguns casos apenas do Google e nenhum do fabricante.

A tabela logo abaixo mostra o número médio de correções de gravidade crítica e alta ausentes na data de correção ( Amostras – Poucas: 5-9; Muitas: 10-49; Lotes: 50 ).

Especialistas exclarecem que alguns telefones são incluídos várias vezes com diferentes versões de firmware.

Os pesquisadores da SRL explicaram que a única maneira de descobrir o que está instalado no dispositivo é olhar o que está incluído nas correções mensais do Google para ter certeza se elas estão disponíveis no seu dispositivo.

A boa notícia para os usuários é que, em alguns casos a falha no gerenciamento de patches não é o suficiente para um invasor comprometer remotamente o seu dispositivo Android e ignorar os mecanismos de defesa, como o sandbox e o ASLR.

“Os sistemas operacionais modernos incluem várias barreiras de segurança, por exemplo, ASLR e sandboxing, que normalmente precisam ser violadas para que o telefone seja hackeado remotamente”, dizem os pesquisadores.

“Devido a esta complexida alguns patches ausentes geralmente não são suficientes para um hacker comprometer remotamente o dispositivo Android. Em vez disto, vários bugs precisam ser explorados para que um hack seja bem-sucedido”.

Se você estiver curioso, dê uma olhada no documento publicado por eles.

Via Security Affairs