Criptografia completa de disco no Android o torna mais vulnerável

A criptografia completa de disco no Android só o torna muito mais vulnerável. Ao contrário do iOS da Apple, Android é vulnerável a várias técnicas-chave de extração.

A criptografia completa de disco no Android acabou deixando mais fácil para qualquer um derrotar dispositivos que usam chips da fabricante de semicondutores Qualcomm, graças a uma nova pesquisa que revela vários métodos para extrair chaves criptográficas de um aparelho bloqueado. Esses métodos incluem publicamente disponível um código de ataque que trabalha contra uma estimativa de 37 por cento dos usuários da empresa.

Um post publicado quinta-feira revelou que, em contraste com o iOS do iPhone, dispositivos Android com chips da Qualcomm não estão seguros.

O pesquisador independente que publicou o post incluído código de exploração que extrai as chaves de criptografia de disco através da exploração de duas vulnerabilidades no TrustZone. TrustZone é um conjunto de recursos de segurança dentro dos processadores ARM que a Qualcomm vende para fabricantes de aparelhos. O código de ataque é capaz de executar o código no kernel TrustZone, que é um enclave dedicado a operações sensíveis, tais como gerenciamento de chaves criptográficas.

Um terço das empresas com telefones Android são exploráveis

Tanto o Google quanto a Qualcomm são rápidos em observar que ambas as vulnerabilidades já teria sido corrigido. A primeira foi em janeiro, enquanto o segundo foi corrigida em maio. Google também apontou que pagou o pesquisador por seu trabalho através do programa de bug de recompensas da empresa.

Mas pesquisadores do serviço de autenticação de dois fatores Duo Segurança disseram a Ars que cerca de 37 por cento de todos os telefones Android que usam o aplicativo Duo permanecem suscetíveis ao ataque, porque eles ainda têm de receber os patches. A falta de atualizações é o resultado das restrições impostas pelos fabricantes ou operadoras que impedem os utilizadores finais de instalarem atualizações lançadas pela Google.

É o problema do Google. Mesmo se você argumentar que as operadoras e OEMs são aquelas que atrasam atualizações, ainda assim cria problemas para o Google. A marca Android é a marca do Google, mas eles têm pouco controle sobre como o Android é realmente utilizado e implantado por empresas que podem não ter o melhor interesse no Google (ou não se importam), e isso foi um erro. O maior vilão aqui é provavelmente a Samsung - Samsung definitivamente tem a influência, mas eles não têm absolutamente nenhum interesse em resolver isso. A única saída para isso é saber se vale a pena ter dispositivos com Android e correr os riscos, em última análise, a Apple pode projetar o hardware e software em sinergia para seus dispositivos, enquanto o Google não pode.