Semana passada uma equipe da Bluebox Labs alertou sobre uma falha no Android antiga e que afeta 99% dos aparelhos em uso rodando o sistema. O Google agiu rápido e já liberou uma correção, embora o seu smartphone ou tablet talvez demore um pouco para recebê-la.

A falha, para quem não se lembra, permitia que um APK (formato de arquivo dos instaladores de apps) fosse alterado sem modificar a assinatura criptográfica, o que (em tese) garante a integridade de um aplicativo. Essa modificação poderia ser usada para a injeção de código malicioso e, como a assinatura não muda, seria difícil ao usuário notar que algo está errado.

O Google anunciou, por intermédio de Gina Scigliano, Gerente de Comunicações do Android, que a correção do problema está pronta e já foi enviada às fabricantes. E aqui, provavelmente, mora o problema: depende delas, e das operadoras, repassar a correção aos usuários. Há relatos de que a Samsung já está liberando a atualização para usuários do Galaxy S 4, mas esse comportamento parece ser exceção. Se nem o Nexus 4 foi atualizado ainda, não é de se espantar que outros também estejam no aguardo.

O consolo que fica é que a falha, que existe há quatro anos, desde a época do Android 1.6 “Donut”, nunca foi explorada, e que quem baixa apps apenas do Google Play tem várias camadas de proteção, como o Bouncer. E mesmo quem costuma dar umas escapadas da loja oficial do Google conta com algumas barreiras do tipo, desde que esteja rodando o Android 4.2. [ZDNet]