A tentativa da Samsung de proteger seus telefones Galaxy contra ataques pode sair pela culatra. Ao modificar o código do kernel, a Samsung pode realmente expor os sistemas a mais problemas relacionados à segurança. É isso que o Google Project Zero (GPZ) afirma.
Caso você ainda não saiba, o Google Project Zero é uma divisão da gigante das buscas que reúne um time de especialistas que trabalham encontrar problemas de segurança em softwares e serviços. Um dos grandes feitos recentes dessa divisão foi a descoberta em 2018 das falhas de segurança Meltdon e Spectre, que afeta diretamente os processadores da Intel.
Os fabricantes de smartphones, incluindo a Samsung, podem criar vulnerabilidades, fornecendo acesso direto ao hardware do kernel Linux do Android. Os fabricantes de smartphones estariam muito melhor com os recursos de segurança que já estão presentes no kernel do Linux , explica Jann Horn, pesquisador da GPZ.
Jann Horn descobriu um erro no kernel do Android no Samsung Galaxy A50. No entanto, o problema vai além desse modelo. De acordo com Horn, todos os fabricantes de smartphones usam a mesma tecnologia que a Samsung. Eles adicionam linhas ao código do kernel Linux downstream que os desenvolvedores do kernel upstream não verificaram.
Um ajuste de segurança pretendido pela Samsung causou um erro de memória relatado pelo Google à Samsung em novembro passado. O problema afeta o subsistema de segurança extra da Samsung, chamado PROCA. Segundo a Samsung, o bug, SVE-2019-16132, é um problema moderado. Pode permitir que os invasores executem código personalizado em alguns dispositivos Galaxy com Android 9.0 e 10.0.
Com a atualização lançada recentemente em fevereiro para dispositivos Galaxy, a Samsung corrigiu o problema. Além disso, a recente atualização de fevereiro inclui uma solução para um erro crítico nos modelos TEEGRIS da Samsung, incluindo o Galaxy S10.
Segundo Horn, várias das funções personalizadas adicionadas pela Samsung são desnecessárias. A remoção das funções não teria nenhum impacto na segurança. Pelo contrário, seria mais seguro para os fabricantes de smartphones usar as funções que já são suportadas originalmente no Linux em vez de modificar o código do kernel.