Problema de segurança real do Android é os fabricantes
Se você estiver usando um aparelho do Google Pixel, o seu telefone estará protegido contra falhas de segurança que poderiam permitir que um arquivo PNG destruísse completamente o sistema. Se você estiver usando quase qualquer outro aparelho Android, então seu telefone estará vulnerável. Isto é um problema.
O Google lançou recentemente a atualização de segurança de fevereiro para dispositivos Pixel, que fecha um buraco que permitiria que arquivos PNG maliciosos "executassem código arbitrário dentro do contexto de um processo privilegiado". Em termos mais simples, o código pode ser executado em alto nível e roubar seu info-tudo que você precisa fazer é abrir o arquivo. É isso aí.
Isso significa que qualquer PNG que chegue até você, seja em um email, em um cliente de mensagens ou mesmo em um MMS, poderia seqüestrar o sistema e roubar dados valiosos. Ou seja, em qualquer telefone que não seja um Pixel, porque eles estão protegidos agora. Samsung, LG, OnePlus e a maioria dos aparelhos de outros fabricantes ainda são suscetíveis a esse bug. Temos que começar a manter os fabricantes em um padrão mais elevado quando se trata de atualizações de segurança. Período.
Atualmente tenho quatro telefones Android ao alcance da mão: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 e OnePlus 6T. Os dois Pixels são corrigidos e protegidos com a atualização de fevereiro, mas o S9 e o 6T estão apenas no dezembro patches de segurança. Isso significa que qualquer vulnerabilidade mais recente, como essa PNG, por exemplo, não é corrigida em ambos os aparelhos. Considerando que os dispositivos Samsung Galaxy estão entre os telefones mais populares do planeta, isso é preocupante.
Cameron SummersonMas não é apenas um problema por causa do problema atual. Este é um problema dinâmico que é uma preocupação constante - ou pelo menos deveria ser. Enquanto houver novas vulnerabilidades, as atualizações de segurança atrasadas sempre serão um problema. Então, para colocar isso em termos mais simples: isso sempre será um problema porque as vulnerabilidades são garantidas.
Embora a “fragmentação” do Android tenha sido um problema (já que a plataforma foi introduzida, essencialmente) quando se trata de atualizações completas do sistema operacional, não aplicam-se a atualizações de segurança. Estas não são atualizações “novas funcionalidades são legais e quero-as”, estas são atualizações cruciais para proteção de dados. Independentemente de serem pequenos ou não, isso não é algo que deve ser negligenciado por qualquer consumidor. Sempre.
Atualmente, os fabricantes estão fazendo um trabalho terrível de proteger seus usuários, ponto final. Embora não obter atualizações completas do sistema operacional (ou até mesmo liberações de ponto) seja irritante, na melhor das hipóteses, não receber atualizações de segurança é inaceitável. Ele envia uma mensagem que não pode ser ignorada: ela diz que o fabricante do seu telefone não se importa com seus dados. Suas informações não são importantes o suficiente para protegê-las.
As atualizações de segurança não são enormes, como atualizações completas do sistema operacional ou até mesmo lançamentos pontuais. Eles são lançados mensalmente pelo Google, por isso são muito menores e mais fáceis de serem usados no sistema - até mesmo para fabricantes de terceiros. Novamente, não há desculpa real para não fazer disso uma prioridade.
No ano passado, o Google exigiu que os fabricantes oferecessem pelo menos dois anos de atualizações de segurança para aparelhos celulares. (Pixel telefones são garantidos para obter três anos.) O problema com isso? Ele requer apenas "pelo menos quatro" atualizações dentro de um ano. Isso é trimestral, não mensalmente - e é exatamente o que a maioria dos fabricantes está fazendo. O mínimo. E não é bom o suficiente.
Por quê? Porque novas vulnerabilidades são expostas o tempo todo. Não quero que meus dados sejam potencialmente comprometidos enquanto espero que o fabricante do meu telefone consiga preparar até três meses de correções de segurança em uma única atualização. Eu os quero assim que o Google os liberar, e você também deve.
Esta vulnerabilidade PNG é apenas 1 exemplo. Mês após mês, esses tipos de problemas são descobertos e, com a maioria dos fabricantes enviando atualizações de segurança meses depois, isso deixa os dados expostos por muito mais tempo do que o aceitável..
Enquanto eu gostaria que houvesse uma resposta fácil sobre como corrigir isso, infelizmente, não há. Até que os fabricantes comecem a levar suas informações mais a sério, há apenas uma resposta real: compre um telefone diferente. A Apple e o Google provaram rotineiramente que se preocupam com os dados dos usuários, de modo que os aparelhos iPhone e Pixel são excelentes escolhas para os usuários que querem fazer tudo o que podem para proteger seus dados..
Por mais clichê que pareça (e estou sinceramente farto de ouvir isso): é hora de votar com sua carteira. Não compre telefones de fabricantes que não se importam com seus dados. Essa é a única maneira que eles vão saber isso é sério.