O relatório de segurança do Google para o mês de dezembro traz o que a empresa chamou de uma das brechas mais severas já encontradas no sistema operacional Android, sendo capaz de travar um celular completamente a partir de uma mensagem de texto comprometida. O problema, maior entre três vulnerabilidades relatadas pela companhia, foi resolvido por uma atualização de sistema liberada pela companhia neste início de dezembro.

A vulnerabilidade, chamada de CVE-2019-2232, se apoia em uma validação imprópria de recursos Java contidos em mensagens de texto. Caso elas tenham sido trabalhadas de forma maliciosa, podem gerar o que o Google chamou de “negação de serviço permanente”, travando completamente o smartphone e impedindo até mesmo uma reinicialização. O usuário nem mesmo precisa abrir o SMS, bastando que ele seja recebido para que a vulnerabilidade entre em ação.

A brecha estaria presente em boa parte das versões mais recentes do Android, desde a edição 8.0 até a 10, e a atualização é de extrema urgência. O Google pede que os fabricantes de smartphones acelerem o lançamento de updates, principalmente daqueles relacionados à segurança, uma vez que brechas como essa podem estar sendo exploradas por hackers e criminosos. A Samsung foi a única que se pronunciou sobre o assunto, afirmando estar trabalhando para liberar o update o mais rápido possível, mas também que o tempo de lançamento pode variar de acordo com o modelo de aparelho e região do usuário.

Outra falha perigosa relatada pelo Google foi batizada pelos especialistas em segurança de StrandHogg e seria capaz de usar o microfone e a câmera sem ser detectada, acessar fotos, contatos e mensagens de texto, gravar chamadas, ler mensagens e registrar a localização do usuário. Basicamente, se trata de um malware de espionagem voltado para diferentes fins que vão desde o roubo de dados até a vigilância ostensiva, podendo servir como ferramenta governamental.

O malware é baixado como um aplicativo comum e aguarda que o usuário clique em um software legítimo, como uma rede social ou mensageiro, para exibir sua tela de permissões como se fosse a desta aplicação. O usuário é ludibriado e uma vez que a praga recebe as autorizações necessárias para funcionar, começa a registrar os dados, os enviando para um servidor sob o controle de hackers e abrindo a possibilidade para fraudes, golpes online, extorsão, phishing e outros crimes baseados no volume de dados obtido.

Por fim, a mais recente atualização de segurança para o Android mitiga uma vulnerabilidade que permitiria a execução de código remoto em aplicativos manipulados, de forma que um criminoso pudesse executar instruções em processos que estão sendo rodados, mesmo não tendo permissão para isso. É uma brecha semelhante à anterior, com ambas sendo consideradas graves pelo Google, mas sem o mesmo nível de complexidade e penetração.

Em seu relatório de segurança, a empresa disse também estar criando parcerias com empresas de segurança para identificar e combater malwares para Android mais rapidamente. A ideia é criar uma linha direta de informação, de forma que a empresa seja informada mais rapidamente sobre os problemas e possa os resolver antes que se tornem populares e uma ameaça para os usuários, como aconteceu com o StrandHogg, cujos softwares chegaram a ter dezenas de milhares de downloads na Play Store antes de serem retirados do ar.

Entretanto, entra em jogo, novamente, a questão da fragmentação da plataforma. A presença de tais vulnerabilidades no Android, agora, é pública, mas as atualizações de segurança estão disponíveis para um microcosmo de usuários, enquanto os outros simplesmente não têm data para as receberem. Quem tem celular antigo está em risco ainda maior devido à maior complexidade destes updates, algo que, ao mesmo tempo em que justifica os esforços do Google em busca de mais agilidade, também representa um risco maior para os utilizadores.

Fonte: Google, Phone Arena