O Android é um dos sistemas que mais está exposto a ataques e a falhas de segurança, algumas delas graves. Estas tendem a ser tratadas, mas a Google tem agora uma palavra a dizer. A gigante das pesquisas queixa-se que os fabricantes Android demoraram muito a tratar falhas de segurança.
Foi no seu relatório “Year in Review of 0-days” que a Google revelou como correu o ano de 2022 no que toca a falhas de segurança. Este foca-se nos problemas graves de segurança e que podem ser explorados de imediato, tendo um impacto negativo para os utilizadores.
Uma das vertentes deste relatório está na forma como os fabricantes tratam estes problemas de segurança e o tempo que demoram a resolvê-los. Estes estão a demorar demasiado tempo a tratar das situações, o que transforma problemas com algum peso em situações graves se aproveitadas em conjunto com outras.
A gigante das pesquisas dá alguns exemplos e mostra que muitas vezes o problema está na forma como os fabricantes se relacionam. Até pode existir uma correção para uma falha num componente de hardware, mas as marcas que usam esses componentes não integram as correções no seu software.
Um exemplo usado foi a de uma vulnerabilidade na GPU ARM Mali, que não foi corrigida pelo Android até abril deste ano. Isso são “6 meses após o lançamento inicial da ARM, 9 meses após o relatório inicial de Man Yue Mo e 5 meses após ter sido encontrado pela primeira vez a ser explorada ativamente”.
- Julho de 2022: reportado à equipe de segurança do Android
- Agosto de 2022: a segurança do Android rotula “Não vai resolver” e envia para o ARM
- Outubro de 2022: bug corrigido pela ARM
- Novembro de 2022: exploit descoberto
- Abril de 2023: incluído no boletim de segurança do Android
Há ainda uma situação relatada e que afeta o browser da Samsung no Android. Acontecia porque o browser estava a usar uma versão com sete meses do Chromium (102). Esta tinha um problema resolvido na altura, mas que a fabricante não integrou na sua proposta.