Google corrige brecha antiga do Android, mas poucos receberão o patch

Há alguns dias a Bluebox descobriu uma falha antiga do Android presente em praticamente todas as versões em uso do sistema, da 1.6 para frente. Aparentemente ela ainda não havia sido explorada, ao menos não em larga escala.

A brecha permitia modificar o conteúdo dos pacotes de aplicativos (APK) mantendo a assinatura criptográfica, o que abre margem para injeção de código malicioso em apps que parecem reais (criados por desenvolvedores confiáveis ou populares). Dentro da Play Store a distribuição deles não faria tanto sentido (era fácil publicar malwares por lá), mas fora poderia ser preocupante.

Os desenvolvedores do Google finalmente corrigiram o problema e entregaram as correções aos fabricantes.

Aí nasce outro problema, característico da plataforma: a grande maioria dos usuários de aparelhos Android nunca receberá esta atualização. Ela depende dos fabricantes e, em alguns casos, das operadoras. Normalmente eles focam nos aparelhos mais recentes e “importantes”. Na prática, muita gente continuará com uma versão do Android onde a falha pode ser explorada.

Para servir de alívio a representante do Google Gina Scigliano comentou que não foi detectada nenhuma evidência de exploração desta falha. A brecha está lá, mas aparentemente ainda não foi usada por apps maliciosos. De qualquer forma o Google Play tem mecanismos para identificar apps maliciosos, e o recurso ‘Verify Apps’ do Android 4.2 oferece maior segurança na instalação de apps:

a42

Novamente a crítica: infelizmente o Android 4.2 ficará longe da realidade da maioria dos usuários de aparelhos atuais.

Postado por
Siga em:
Compartilhe
Deixe seu comentário
Veja também
Publicações Relacionadas
Localize algo no site!