Google corrige falha no Android e promete mais segurança para dispositivos Nexus
Em meio à conferência Black Hat USA, que ocorre esta semana, o Google anunciou que vai cuidar melhor da segurança nos dispositivos Nexus ao oferecer atualizações todo mês.
>>> Como o Android está se tornando o novo Windows
O Google diz em comunicado: “a partir de amanhã (06/08) e de agora em diante, dispositivos Nexus receberão atualizações mensais focadas exclusivamente em segurança”. Isso inclui o Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9, Nexus 10 e Nexus Player. As atualizações de segurança serão oferecidas por até três anos após o lançamento de cada aparelho.
Além disso, esses dispositivos vão receber hoje a correção de uma falha divulgada há uma semana: se você abrir uma mensagem de vídeo maliciosa, ela pode rodar código no seu dispositivo. E alguns apps – como o Hangouts – abrem esse tipo de mensagem automaticamente.
O problema de segurança está no código-fonte do Android. Ou, pelo menos, estava: o Google já enviou a correção para os parceiros e pretende liberá-la como código aberto quando os pesquisadores divulgarem mais detalhes na Black Hat.
A correção será distribuída durante o mês de agosto, inicialmente para os dispositivos Android mais populares. Isso inclui modelos como o Samsung Galaxy S6/S5/Note 4, HTC One M7/M8/M9, LG G2/G3/G4 e Sony Xperia Z2/Z3/Z3 Compact.
O Google também faz uma recomendação meio curiosa: deixe de usar o Hangouts e adote o Messenger, que não possui essa falha.
A próxima versão do Messenger, o aplicativo de SMS do Google… será liberada nesta semana e nós recomendamos que os donos de aparelhos Android Jellybean e de versões acima troquem seu app default de SMS para o Messenger.
Ensinamos aqui como impedir que o Hangouts seja afetado pela falha.
O Google vem tomando algumas medidas para melhorar a segurança no Android. Desde junho, a empresa oferece prêmios de até US$ 38.000 para quem encontrar falhas no código do sistema.
Além disso, todo app na Play Store passa por um algoritmo que verifica se há malware; e o Android 2.2 ou superior vasculha os apps instalados no dispositivo para detectar código malicioso – quer tenham vindo da Play Store ou de outros lugares.
No entanto, nem toda falha de segurança é corrigida pelo Google. No início do ano, mencionamos aqui uma vulnerabilidade no Android 4.3 e anteriores que a empresa não vai consertar. Ela afeta um recurso que o Google parou de desenvolver há dois anos, mas que está presente em 42,6% dos dispositivos.
A falha está no WebView, que permite que apps abram páginas da web sem recorrer a outro app. Há algum tempo, o motor de renderização foi trocado (do WebKit para o Blink), e versões antigas foram deixadas de lado. “Aplicar patches de vulnerabilidade a uma versão do WebKit com mais de dois anos exigia alterações em partes significativas do código, e não era mais prático de se fazer com segurança”, disse Adrian Ludwig, engenheiro-chefe de segurança do Android, em janeiro.
Pelo menos, com a nova política de atualizações, os dispositivos Nexus devem ficar mais seguros, assim como os aparelhos high-end que o Google mencionou. [Android Official Blog]
Foto por Gerwin Sturm/Flickr