Ryan Welton, pesquisador na empresa de segurança NowSecure, encontrou uma brecha de segurança que pode afetar até 600 milhões de smartphones da Samsung. Apesar desse potencial, você não deveria se preocupar muito com essa falha – o problema aqui é outro.
Vamos começar pela falha: como explica o Ars Technica, a vulnerabilidade afeta a versão personalizada da Samsung para o teclado SwiftKey.
O dispositivo baixa atualizações para o teclado que não são criptografadas: dessa forma, um hacker poderia substituir esse arquivo por malware, e então fazer de tudo – monitorar a câmera e microfone, ler mensagens e instalar apps.
A falha foi confirmada no Galaxy S6, Galaxy S5, Galaxy S4 e Galaxy S4 Mini, e apresentada na conferência Blackhat:
Você não deveria se preocupar muito com esta falha de segurança. É que, para ela ser usada, uma série de condições precisam se alinhar: você precisa ser alvo de um hacker; você precisa estar conectado a uma rede vulnerável; e você precisa receber uma atualização para o teclado – algo que depende da Samsung, não do hacker.
A SwiftKey se pronunciou sobre a falha, e lembra que ela “não afeta os apps para consumidor distribuídos através do Google Play ou da Apple App Store” – o problema está restrito ao teclado padrão em dispositivos da Samsung.
Enquanto isso, a Samsung diz que a suíte de segurança KNOX consegue “invalidar quaisquer vulnerabilidades em potencial causadas por essa falha”, e uma atualização será distribuída nos próximos dias.
No entanto, há um problema mais profundo aí, como explica o Wall Street Journal. A NowSecure entrou em contato com a Samsung em novembro de 2014. No mês seguinte, a coreana pediu mais tempo para analisar o problema. Na véspera do ano novo, ela pediu um ano para resolver a falha. Um ano!
Andrew Hoog, CEO da NowSecure, achou que isso era tempo demais. Conversa vai, conversa vem, e em março a Samsung disse que criou um patch para resolver a falha, e distribuiu a atualização para as operadoras. A empresa pediu que a vulnerabilidade fosse revelada depois de três meses, o que aconteceu agora em junho.
Só que a NowSecure ainda não encontrou nenhum Galaxy com a falha corrigida. Ela continua ativa em alguns modelos do Galaxy S6, S5 e S4 Mini nos EUA, e pode não ter sido resolvida em outros aparelhos.
Como dissemos, o problema aqui é outro: as fabricantes estão demorando demais para resolver problemas de segurança, e existe uma barreira adicional – as operadoras – para que as atualizações cheguem aos celulares. E se fosse uma falha mais séria?
É um problema comum entre smartphones Android. No ano passado, foi revelada a falha FREAK, que permite descriptografar o tráfego HTTPS entre navegadores e milhões de websites. O navegador padrão do Android 4.3 ou inferior era vulnerável, e o Google resolveu o problema – mas cabe às fabricantes e operadoras oferecer a atualização para os usuários.
Por enquanto, o jeito é usar uma das vantagens do Android: troque de teclado e, se você usa o navegador padrão, baixe outro.
[Android Central – Ars Technica – Wall Street Journal]
Fotos por Gizmodo e Kārlis Dambrāns/Flickr