O mercado dos smartphones parece não ter qualquer folga no que toca à segurança. As falhas existem e têm sido reveladas, tanto no software como no hardware. A mais recente é de extrema gravidade e deixa vulneráveis os equipamentos com chips da Qualcomm. O problema é que não se limita aos smartphones e afeta outros dispositivos. A solução existe, mas poderá nunca chegar a todos.
Smartphones e outros dispositivos vulneráveis
A falha de segurança foi inicialmente descoberta por um investigador do grupo de análise de ameaças da Google, uma equipa independente que se dedica a encontrar erros em todo o tipo de apps e serviços. Contudo, desta vez, a vulnerabilidade não afeta o software, mas sim o hardware, especificamente a família de processadores Qualcomm Snapdragon.
A própria fabricante confirmou-o pouco depois, listando nada mais nada menos do que 64 chips afetados, entre os quais alguns dos processadores mais utilizados no setor móvel Android, como o Snapdragon 888 ou o Snapdragon 660.
Nem os modelos mais recentes estão a salvo, e o último modelo topo de gama lançado até agora pela empresa, o Snapdragon 8 Gen 3, também é afetado. Como se não bastasse, o problema está também nos chips concebidos para outros dispositivos. Falamos do FastConnect 6700 utilizado em plataformas embarcadas ou o modem X55 utilizado em alguns modelos de iPhone.
Falha está nos chips mais recentes da Qualcomm
A falha de segurança é do tipo conhecido como ‘Use-After-Free’ (UAF), que ocorre quando um programa continua a utilizar uma porção de memória após a ter libertado para utilização por outros programas. Um hacker pode tirar partido disto para obter acesso à memória. Pode também modificar o comportamento do programa ou aceder a dados sem permissão.
A vulnerabilidade presente nos chips Snapdragon é “zero-day”. Isto significa que o bug não era do conhecimento da Qualcomm e, pior ainda, já foi utilizado por hackers. Tal como confirmado, a vulnerabilidade foi explorada para “atacar indivíduos específicos”. Isto, em vez de ser utilizada como um ataque generalizado contra o maior número possível de utilizadores.
No entanto, agora que esta vulnerabilidade é conhecida, é uma questão de tempo até que comece a ser amplamente utilizada por todo o tipo de hackers. A boa notícia é que a Qualcomm já publicou um patch que está disponível para os fabricantes de telemóveis. A má notícia é que o utilizador depende destas empresas para ter acesso a uma atualização. Em muitos casos, especialmente em telefones antigos, é bem possível que os telefones que já não são suportados não recebam qualquer tipo de atualização e permaneçam vulneráveis.