A Google foi expedita a corrigir uma falha que atingia 99% dos smartphones com Android. Conforme demos a conhecer, esta falha existia efectivamente e a Google tinha conhecimento da mesma já há algum tempo. No entanto, só depois da pressão imposta pela explicação da empresa de segurança, que deu a conhecer com detalhe o modus operandi do aproveitamento da vulnerabilidade é que a Google se mexeu.
Esta vulnerabilidade, conforme se pode ler na ZDNet, publicação para a qual a Google admitiu ter já solução para resolver a vulnerabilidade, o problema é grave:
This security vulnerability is in how Android applications are verified and installed. Each application has a cryptographic signature, to ensure that the contents of an application have not been tampered with. The security hole, however, enables attackers to change the contents of an application while leaving the signature intact.
Quer isso dizer que todos os equipamentos poderiam estar à mercê desta vulnerabilidade, o sistema operativo Android padece efectivamente de uma falha de segurança que permite que o código-fonte dos pacotes de instalação das apps possa ser alterado sem que a assinatura criptografada seja comprometida. Esta alteração permite efectivamente colocar malware numa app sem que esse malware seja detectado. Depois de instalada essa app e, dependendo da sua acção dentro do smartphone, o utilizador poderia ver o seu sistema ser tomado por completo.
A Google deixou claro à ZDNet que o problema existe e que já tem uma solução. Essa solução foi já disponibilizada aos fabricantes para que estes possam introduzir numa futura actualização do firmware do equipamento. A Samsung, por exemplo, já está a trabalhar para que esta actualização chegue aos seus clientes.
De forma a tranquilizar os utilizador, Gina Scigliano, porta voz da Google, é pragmática a desdramatizar a situação e declara que:
“We have not seen any evidence of exploitation in Google Play or other app stores via our security scanning tools. Google Play scans for this issue – and Verify Apps provides protection for Android users who download apps to their devices outside of Play.”
Basicamente afirma que a falha apontada pela Bluebox não teve evidências de malware nem da Google Play nem noutras app Stores, monitorizadas por ferramentas de segurança da própria Google.
Esta vulnerabilidade permite acesso a diferentes tipos de informação, segundo informou a Bluebox, isto dependendo do níveis de permissão a que tem acesso o hacker. As apps mais susceptíveis de sofrerem desta vulnerabilidade são as de propriedade dos fabricantes, pois são estes que detêm total permissão sobre as apps.
O passo seguinte, o de actualização, será determinante, agora que todos os intervenientes já conhecem o que está em jogo. É importante que sejam rápidos mesmo nos smartphones mais antigos.