Proponha uma correção, faça uma sugestão
Falha grave no 4G afecta todos os smartphones Android
Todos os smartphones assentam em tecnologias que permitem comunicar de formas rápidas, com a máxima qualidade e acima de tudo, com a maior segurança possível.
A evolução tem sido bem visível ao longo dos anos, e o 4G é agora uma realidade. Mas a verdade é que todos os Android que suportam esta tecnologia têm uma grave vulnerabilidade.
Esta muito relevante falha de segurança do Android foi descoberta por investigadores Coreanos e confirmada por várias equipas de investigadores de segurança.
A sua importância é de tal forma elevada que o CERT da Universidade de Carnegie Mellon emitiu um alerta para os operadores de telecomunicações norte americanos, alertando-os para as implicações deste problema.
A falha permite que as comunicações dos utilizadores das redes 4G possam ver o seu tráfego roubado, inspeccionado e lido, ou que seja feita faturação acima do normal.
O problema está na forma como o Android implementa o modelo de permissões nestas redes, que não está de acordo com o que seria esperado para as redes LTE, nome pelo qual as redes 4G também são conhecidas.
As redes LTE assentam no modelos de comutação de pacotes, ao contrário da comutação de circuitos, usada pelas tecnologias anteriores. Esta primeiro modelo sabe-se que tem várias falhas e que podem ser exploradas, nomeadamente sobre o protocolo SIP, normalmente usado para chamadas de voz sobre IP.
Ao explorarem esta falha os atacantes conseguem fazer spoofing de números de telefone para ter acesso a chamadas e mensagens gratuitas e velocidades de acesso à rede mais elevadas.
Existem também outros ataques que permitem que dados sejam roubados ou que sejam criadas aplicações que silenciosamente ligam para números de valor acrescentado.
Nos Estados Unidos sabe-se que a falha afectas as redes dos operadores T-Mobile, Verizon e AT&T. Não existe qualquer informação se este problema está a afectar as redes 4G europeias.
A Google vai actualizar os seus equipamentos com as correcções necessárias já no início do próximo mês, na actualização de segurança que será lançada. No caso dos restantes fabricantes não existe qualquer informação sobre possíveis correcções de segurança.
Este artigo tem mais de um ano
Loading ...
Se as apps aparecerem no windows 10 mobile o android deixa de fazer sentido pois era o “windows dos tlms” mas agora ha um verdadeiro windows e o android passou a “SO dos tlms chineses com virus e sem suporte”
O que diz, além de preconceituoso, não faz sentido. Na verdade, o Wimdows Mobile será até menos seguro, só que o Android é neste caso mais atacado por ser a plataforma dominante do mercado. Mas o que é aqui descrito, apesar da Apple dizer que não ocorre no iOS (faltará talvez comprovação independente deste facto), pode facilmente ocorrer noutros SO móveis, nomeadamente porque a falha descrita recorre nomeadamente a tráfego SIP/IP. Por isso, a afirmação que faz não tem sentido real.
algumas nao todas……….e agora o Android faz ainda mais sentido…….pois pode ser colocado em todas as faixas de preços….ja o IOS é para ou quem é rico ou quem é louco ou quem se quer armar…………….pois eu nao vejo Ios em smartpones de 100 euros de 50 euros…………..
Por estar em telemóveis baratos, não quer dizer que tenha de ser inseguro, cheio de bugs, sem resolução!
Compras um PC Windows de 300€, ou de 30.000€, e tens a mesma segurança!
Tem toda a lógica!
Vou já a correr comprar um WP para correr as apps do Android, não poder mudar a porra das tiles para um launcher decente (olha, como o que a própria Microsoft disponibilizou para o Android) e ainda por cima, como se a política de privacidade da Google não fosse suficientemente má, vou-me meter numa companhia que acabou de se reinventar como “Super-Google v2.0”.
É que é já a seguir!
Há algum site onde se possa ver uma lista de todas as vulnerabilidades? Ou a Pplware quer fazer isso? Pergunto porque Android, iOS e WP têm vulnerabilidades [graves] todos os dias, semanas, ou, pelo menos, meses. E isto não é uma crítica aos sistemas operativos. Estou a querer saber quais são as falhas que existem [e porquê], todas num mesmo lugar.
Se existe está aqui:
https://web.nvd.nist.gov/view/vuln/search
http://www.cvedetails.com/product/11481/Apple-Iphone.html?vendor_id=49
http://www.cvedetails.com/version/186573/Google-Android-5.1.1.html
Por ai.. o iPhone neste momento tem 4 e o Android 2
Ou seja, essa lista não tem nada a ver com a realidade, ou teria pelo menos esta falha!
/o-o/
Isso são as vulnerabilidades publicadas em 2015 do Android 5.1.1 😉
Sim. e eu tenho o 5.1.1 e estou em 2015. o que tem?
Porque em 2015 não foi colocada nenhuma vulnerabilidade para a Apple!
http://www.cvedetails.com/vulnerability-list/vendor_id-49/year-2015/Apple.html
Não confundir Apple com um só produto da Apple.
Já agora, aqui estão as do iOS em 2015:
http://www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-15556/year-2015/Apple-Iphone-Os.html
talvez o facto de tentares comparar uma única versão do Android com todas as versões do iOS.
E talvez o facto de essa base de dados não incluir todas as vulnerabilidades que a Google ou outros corrigem no Android pois ao contrário da Apple a Google não tem tido por hábito divulgar esse tipo de informação.
Não se pode comparar por CVE, porque a Apple publica aí as vulnerabilidades corrigidas ou não, e manda as vulnerabilidades por mailing list e tudo. Também todas as vulnerabilidades aí estão corrigidas, e disponíveis gratuitamente para todos os aparelhos dos últimos 5 anos!
Já a Google paga uma boa soma a quem encontrar vulnerabilidades e as deixar fechadas…
http://www.androidpolice.com/2015/06/16/google-announces-android-security-rewards-will-pay-you-to-find-and-fix-vulnerabilities-afflicting-nexus-devices-and-the-broader-ecosystem/
Por isso é que só vês vulnerabilidades no Android publicadas por grandes empresas.
Talvez o facto de “Ao todo 87% dos dispositivos avaliados estão vulneráveis a pelo menos uma das 11 vulnerabilidades graves encontradas no Android nos últimos 5 anos.
A lista dessas vulnerabilidades pode se vista abaixo:
KillingInTheNameOf psneuter ashmem, 2010-07-13
exploid udev, 2010-07-15
levitator, 2011-03-10
Gingerbreak, 2011-04-18
zergRush, 2011-10-06
APK duplicate file, 2013-02-18
APK unchecked name, 2013-06-30
APK unsigned shorts, 2013-07-03
Fake ID, 2014-04-17
TowelRoot, 2014-05-03
ObjectInputStream deserializable, 2014-06-22
Stagefright, 2015-04-08
Stagefright2, 2015-08-15”
https://pplware.sapo.pt/smartphones-tablets/android/falha-grave-no-4g-afecta-todos-os-smartphones-android/
@JBM
De facto mostrar apenas as vulnerabilidades do 5.1.1 é tendencioso.
Aqui estão todas de 2015 (todas as versões):
http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/year-2015/Google-Android.html
Quanto à segunda parte é só pensar um bocadinho para ver que isso são tretas. O Android é OpenSource, com várias equipas não afiliadas à Google a mexer nele diariamente. Pura e simplesmente não há forma de fazer essas tais correcções às escondidas (porque toda a gente vai ver que o código mudou aqui e ali, e tem a capacidade de rapidamente perceber o que se passou).
Já os sistemas da Apple e Microsoft são fechados, aí sim dará para fazer o que dizes.
@ Anónimo
Não é treta nenhuma. É a Google que lança cada nova versão do sistema e raramente indica as correcções de segurança que são feitas nessas versões. É também a Google que anda activamente a dar recompensas a investigadores para ficar com as vulnerabilidades do Android.
E se olhares para a lista de vulnerabilidades do Android nessa base de dados irás verificar que a maioria delas tem como fonte meros artigos de informação de descobertas de empresas de segurança. O facto é que ninguém no “Android” mantém uma base de dados pública com todas as correcções de segurança que são feitas no sistema, enquanto que a Apple indica tudo.
E para tua informação, nem tudo no Android é Open Source. Muitos dos serviços da Google têm código fechado, e são distribuídos com quase todos os telemóveis vendidos.
Mas que raio me interessa as versões anteriores à minha e quantas pessoas a têm? Eu tenho o 5.1.1.
Não vou dizer que o windows tem mais vulnerabilidades porque o XP tá cheio de buracos e o meu vizinho ainda o usa.
Vamos contar as vulnerabilidades do windows 98 também, para a microsoft ter o record de mais vulnerabilidades xD
Uso o 5.1.1. É o mais actual e é com esse que me preocupo. Este foi o melhor site que encontrei com alguns dados.
Dos dados que tenho e que leio é: em 2015 para o software mais recente possível eu com o meu telemóvel, ultima versão, tive 2 vulnerabilidades.
O meu vizinho com iOS e com ultima versão teve 4.
Qual é o problema nisso?
(quanto tempo demora a apple a corrigir as 4 e o android a corrigir as 2 é outra historia. ou qual a percentagem de utilizadores que não actualiza ou escolhe nao actualizar. Eu estou na ultima com o meu android e também está o meu vizinho com iOS. e esses são os dados que tenho disponíveis para discutir e comparar)
Tudo o que é mudado no sistema Android está devidamente registado nos commits do repositório (segurança, bugs, features, TUDO). Não há como esconder o que quer que seja, vai ver o log dos commits e revê tu mesmo se tens dúvidas. Só não o encontras porque não queres (está tudo aqui: https://android.googlesource.com/). Quanto muito peca por excesso de informação, nunca por falta!
É normal que sejam empresas de segurança a descobrir falhas, não vejo nada de suspeito nisso. Assim como não há nada de questionável na Google pagar para que se descubram bugs.
Não se confundam as apps e serviços proprietários da Google com o sistema Android. Nessas apps e serviços de facto as alterações não são detalhadas. Tal como não são o nas apps do iOS ou nas outras apps do sistema.
E não, o iOS e Apple não são nenhum modelo de “abertura”. Detalham bem as actualizações, mas é código fechado que nada nem ninguém (externo) pode confirmar o que de facto foi feito.
uma correcção
parece que no último mês a google mudou a postura e começou a divulgar muitas das vulnerabilidades, ao contrário do que fazia até então! Coincidência das coincidências é neste último mês que se encontram a maioria das vulnerabilidades do ano.
Convém também dizer que no iOS contam as vulnerabilidades do browser enquanto que o browser da Google é contabilizado à parte.
daiquiri,
se queres ir por aí então tens que comparar com a última versão real do teu vizinho com iOS, e não ir buscar a primeira coisa que te aparece à frente dos olhos sem saberes o que é, e aí chegas a isto:
http://www.cvedetails.com/version-list/49/15556/1/Apple-Iphone-Os.html
ou seja a última versão aponta 1 vulnerabilidade.
de qualquer das formas como já disse, esta base de dados não tem todas as vulnerabilidades que passaram pelo Android, nem engloba vulnerabilidades com o browser no android.
Anónimo,
lamento informar-te mas quase nada do que aparece nesta base de dados “cvedetails” tem como fonte o repositório, pois o repositório apenas dá conta de mudanças no código, não tem mecanismos para reportar vulnerabilidades de segurança e suas correcções, isso é feito por outras vias.
Só no último mês é que a Google passou a divulgar e catalogar como deve as vulnerabilidades/correcções no Android, mas noutro sítio que não o repositório.
Quanto à tua teoria de que no iOS não são detalhadas as vulnerabilidades nas aplicações, isso é falso. Tudo é colocado no mesmo bolo… vais lá à lista do iOS e vês correcções ao Webkit/Safari, até à loja do iTunes no iOS. E sim a Apple é bem mais transparente nas correcções que faz do que a Google. Vai pesquisar um bocadinho aquilo que a Google foi anunciando ao longo dos anos a cada versão e verás que era raro anunciarem correcções de segurança e identificá-las a cada versão.
Obrigado JBM pela correção. Então é 2 vs 1 vulnerabilidade para “o meu vizinho”
O meu browser é o chrome (unico instalado até).
Lindos meninos!
O iOS é chamado para a notícia?
A verdade é nua e crua! Toda a gente com alguma consciência de segurança, nem sequer considera Android!
Pois mas as fotos dos famosos vieram do Android ou IOS ??
Segurança é ter um telemóvel sem nunca se ligar à internet e mesmo assim…
nem num nem doutro! Vieram de contas no iCloud das quais tinham conseguido descobrir os dados de login.
http://androidvulnerabilities.org/
Tens aqui uma boa colecção, mas nunca está completo, por exemplo, essa, ainda não está…
Ainda se queixam do Windows Phone
os Windows phone também não são la grande coisa, eu ando a há já quase 3 meses para a operadora me devolver o dinheiro mas ainda não consegui. quanto mais querem evoluir na tecnologia mais destas coisas surgem, quando se lança um projecto desta envergadura tem de se haver uma noção certa, e ate se fazer testes evitar estas situações
LOL o que é que a Microsoft tem a ver com o facto de quereres devolver o Windows Phone à loja onde compraste ao fim de 3 meses?
Não há lei sequer que deixe isso acontecer, senão andavamos sempre a trocar de smartphone e devolver quando deixassemos de o querer para reaver o dinheiro e comprar outro. Que cromo!
Mais uma do Android…
—
Enviado pelo meu Windows Phone
O Windows Phone também terá as suas falhas, não há muitas descobertas porque o público é bem menor. A vantagem do Windows Phone sobre Android é que no WP qualquer aparelho que tenha falha de segurança recebe atualização para a corrigir, no Android poucos high-end (!!) recebem correções.
Nokia 108!
desculpa nokia 5110 nao tinha estes problemas todos quando o comprei lololol.
O android e os seus problemas tipicos, com lumias e iphones so compra androids quem quer…cada vez mais um “SO de tlms chineses com virus e sem updates”
Tal como o cert aponta (e bem) a maior parte dessas falhas não são do Android, são das redes que autorizam as essas acções não autorizadas. Obviamente que a implementação do Android não se devia comportar como um dispositivo atacante, mas o facto permanece que um (qualquer outro) dispositivo atacante conseguiria o mesmo porque a falha é das redes em si.
Existe contudo uma dessas falhas que é de facto do Android, a da permissão de fazer chamada. Podia ter sido esclarecido que o problema é com o VoLTE (e não 4G em geral), e que a falha do Android vem do facto das chamadas em VoLTE serem pacotes de dados (logo a permissão só para dados/INTERNET) estar a permitir fazer chamadas por VoLTE.
Muito alarido para tão pouco.
se eu fosse comprar o telemovel inspirado nos relatos do pplware lolol nunca comprava android,ou entao ja tinha dado em maluco de tar sempre a perguntar a marca se ja tinham lancado o update x e y. Uso android ha deixa ca ver 2010 a portanto 5 anos,sabem quantos problemas tive?? Zero nem me roubaram os dados nem o telemovel desligava se…. Este Marco Apple fala dos IOS, ve se mesmo que é um puto e nao sabe que todos os SO tem falhas de seguranca e bugs.e para esse mesmo senhor nao compra um iphone so quem nao quer,ao preço que pedem por um iphone 4S ainda pedem 229 com tecnologia de a 5anos atras… Fala da apple mas a apple cada vez que lanca um update tem que lancar logo um aseguir para corrigir as falhas e bugs,neste ultimo eram os telemoveis que se desligavam,e vem ele para aqui falar como se o IOS fosse perfeito lolol
Já no android os problemas mantém-se e updates nem cheiraslol
Não faz mal! Os OEM dentro de uma semana ou duas lançam um update, e o assunto fica resolvido!
O Android é mesmo um desastre!
Ao ler o artigo do CERT, fiquei com a impressão que as falhas já estavam corrigidas ou endereçadas e que a maior parte eram referentes a problemas nas redes em si.
Realmente gostava de saber se as redes cá também sofrem do mesmo mal…
Vá, mudem-me esse título não é uma falha grave do 4G, mas sim do Android.
Lê o artigo do cert e rapidamente percebes que das 4 falhas apenas uma é do Android (a permissão para fazer chamada, CWE-732) e as outras 3 são das redes 4G (no VoLTE, CWE-284; CWE-287; CWE-384).
Lê novamente o artigo cert para perceberes que o problema não está no LTE em si, mas sim na implementação feitas por algumas operadores e na implementação efectuada no Android. Mas este artigo foca-se na vulnerabilidade descoberta por vários investigadores Sul Coreanos que diz respeito apenas ao Android.
Tranquilo.. A cyanogen lança o update na mesma semana que a google o enviar.
Curioso.. se o problema está nas LTE não irá afetar outros s.o?
Tal como o CERT aponta, a maior parte dessas falhas não são do Android, são das redes que autorizam as acções não autorizadas.