A Google tem procurado aumentar a segurança e as atualizações no sistema Android através dos seus patch de segurança.
No entanto, além de algumas marcas demorarem a lançar estas atualizações, foi agora descoberto que embora a atualização seja lançada, nem sempre o patch é instalado.
Desde cedo que um dos principais problemas apontados ao Android é a falta de atualizações e a sua fragmentação, levando a que muitos smartphones nunca saiam da versão Android com que foram lançados.
Para resolver esse problema, a Google tem tentado desenvolver formas de facilitar e forçar a atualização dos smartphones, como é o caso do projeto Treble e dos patch de segurança. Com estes últimos, a marca americana tem procurado aumentar a segurança dos dispositivos com o seu sistema, promovendo a resolução de vários problemas mensalmente. Infelizmente nem todas as marcas adotam esta atualização, atrasando bastante na sua implementação.
No entanto, através de uma investigação apresentada na conferência Box Security, desenvolvida por Karsten Nohl e Jakob Lell, da empresa de segurança Security Reach Labs, vem expor ao mundo uma realidade assustadora, algumas marcas não estão a instalar o patch de segurança que anunciam.
Patch de segurança – Estará realmente instalado no seu smartphone?
Após dois anos a analisar as atualizações dos smartphones Android e a fazerem engenharia reversa às novas atualizações, os investigadores da Security Reach Labs descobriram alguns problemas na distribuição dos patch de segurança.
No entanto, o grande problema não reside nas atualizações que tardam, mas sim daquelas que foram anunciadas, mas nunca instaladas. Ou seja, algumas marcas lançam uma atualização onde alteram a data do patch de segurança, no entanto, este nunca é instalado, criando uma falsa sensação de segurança no utilizador e deixando-o vulnerável.
We find that there’s a gap between patching claims and the actual patches installed on a device. It’s small for some devices and pretty significant for others.
Após testar 1200 modelos Android de diferentes fabricantes, a SRL organizou os dados recolhidos e construiu uma tabela, dividida em três segmentos, desde os que menos falham aos que mais falham.
Analisando a tabela é possível concluir que marcas como a Google, a Sony e a Samsung são das mais cumpridoras, ao contrário da TCL e da ZTE que ocupam as últimas posições. Os dados apresentados representam os valores médios dos patch de segurança que foram anunciados, mas não instalados.
A título de exemplo, o Samsung J5 2016 recebeu todos os patch como anunciado, no entanto, o J3 do mesmo ano já viu 12 das atualizações anunciadas não serem instaladas.
A equipa da SRL analisou novamente os dados e concluiu ainda que os processadores Samsung são os que registam menos falhas, com uma média inferior a 1, enquanto a Mediatek enfrenta uma média de 9.7 de instalações do patch que nunca foram cumpridas.
Este é um problema que deve afetar vários utilizadores sem que estes se apercebam. A única maneira visível de saber se o patch está instalado é através da data nas definições, no entanto, esse valor pode não ser real, dando uma falsa sensação de segurança. A SRL está já a preparar uma atualização da sua ferramenta SnoopSnitch de forma a que o utilizador possa analisar qual a versão que está realmente definida.
Via: Wired