![]() |
Um post publicado quinta-feira revelou que, em contraste com o iOS do iPhone, dispositivos Android com chips da Qualcomm não estão seguros.
O pesquisador independente que publicou o post incluído código de exploração que extrai as chaves de criptografia de disco através da exploração de duas vulnerabilidades no TrustZone. TrustZone é um conjunto de recursos de segurança dentro dos processadores ARM que a Qualcomm vende para fabricantes de aparelhos. O código de ataque é capaz de executar o código no kernel TrustZone, que é um enclave dedicado a operações sensíveis, tais como gerenciamento de chaves criptográficas.
Tanto o Google quanto a Qualcomm são rápidos em observar que ambas as vulnerabilidades já teria sido corrigido. A primeira foi em janeiro, enquanto o segundo foi corrigida em maio. Google também apontou que pagou o pesquisador por seu trabalho através do programa de bug de recompensas da empresa.
Mas pesquisadores do serviço de autenticação de dois fatores Duo Segurança disseram a Ars que cerca de 37 por cento de todos os telefones Android que usam o aplicativo Duo permanecem suscetíveis ao ataque, porque eles ainda têm de receber os patches. A falta de atualizações é o resultado das restrições impostas pelos fabricantes ou operadoras que impedem os utilizadores finais de instalarem atualizações lançadas pela Google.
É o problema do Google. Mesmo se você argumentar que as operadoras e OEMs são aquelas que atrasam atualizações, ainda assim cria problemas para o Google. A marca Android é a marca do Google, mas eles têm pouco controle sobre como o Android é realmente utilizado e implantado por empresas que podem não ter o melhor interesse no Google (ou não se importam), e isso foi um erro. O maior vilão aqui é provavelmente a Samsung - Samsung definitivamente tem a influência, mas eles não têm absolutamente nenhum interesse em resolver isso. A única saída para isso é saber se vale a pena ter dispositivos com Android e correr os riscos, em última análise, a Apple pode projetar o hardware e software em sinergia para seus dispositivos, enquanto o Google não pode.