Há alguns dias a Bluebox descobriu uma falha antiga do Android presente em praticamente todas as versões em uso do sistema, da 1.6 para frente. Aparentemente ela ainda não havia sido explorada, ao menos não em larga escala.
A brecha permitia modificar o conteúdo dos pacotes de aplicativos (APK) mantendo a assinatura criptográfica, o que abre margem para injeção de código malicioso em apps que parecem reais (criados por desenvolvedores confiáveis ou populares). Dentro da Play Store a distribuição deles não faria tanto sentido (era fácil publicar malwares por lá), mas fora poderia ser preocupante.
Os desenvolvedores do Google finalmente corrigiram o problema e entregaram as correções aos fabricantes.
Aí nasce outro problema, característico da plataforma: a grande maioria dos usuários de aparelhos Android nunca receberá esta atualização. Ela depende dos fabricantes e, em alguns casos, das operadoras. Normalmente eles focam nos aparelhos mais recentes e “importantes”. Na prática, muita gente continuará com uma versão do Android onde a falha pode ser explorada.
Para servir de alívio a representante do Google Gina Scigliano comentou que não foi detectada nenhuma evidência de exploração desta falha. A brecha está lá, mas aparentemente ainda não foi usada por apps maliciosos. De qualquer forma o Google Play tem mecanismos para identificar apps maliciosos, e o recurso ‘Verify Apps’ do Android 4.2 oferece maior segurança na instalação de apps:
Novamente a crítica: infelizmente o Android 4.2 ficará longe da realidade da maioria dos usuários de aparelhos atuais.