2013/03/25

Vulnerabilidades nos Android da Samsung



Já por cá temos abordado por várias vezes a necessidade urgente de um sistema como o Android ter forma de rapidamente corrigir vulnerabilidades que possam surgir em larga escala, sem que estejam dependentes de demorados processos de aprovação por parte dos muitos e variados parceiros, operadores, e demais intervenientes na longa cadeia que vai do Android "original" aos Androids personalizados e modificados que chegam aos utilizadores finais.

Para demonstrar o quanto isto é necessário, um investigador decidiu estudar alguns equipamentos Android da Samsung, e rapidamente descobriu bugs e vulnerabilidades que afectavam não só modelos antigos (como o Galaxy Tab) como também os mais recentes (Galaxy S3). Vulnerabilidades essas que são causadas apenas pelas modificações que a Samsung fez e não afectam o Android "em si".

Estas falhas fazem com que uma App aparentemente inocente e sem permissões especiais possa executar outra com total controlo sobre o sistema, sem qualquer indicação para o utilizador: incluindo enviar SMS, fazer chamadas, enviar emails, mudar as configurações de rede, etc. Abrindo caminho para abusos tremendos, quer a nível de gastos imediatos (chamadas e SMS de valor acrescentado), como de roubo de dados (configurando o acesso através de um proxy que registe tudo o que fazem), e tudo o mais.

O investigador contactou a Samsung no início do ano, mas depois de terem passado tantos meses, decidiu chamar a atenção para os prazos alargados e demora na correcção destes problemas (a Samsung pediu mais tempo devido aos atrasos causados pelo processo de aprovação dos operadores).

Segundo o próprio, as correcções necessárias seriam bem simples de efectuar, e não há justificação (ou desculpa) para que demorem tanto tempo a ser feitas. Ainda para mais considerando que são falhas que ele considera serem bastante fáceis de descobrir, e que muito provavelmente já estarão a ser utilizadas por malware que ande a circular por aí.


... Parece-me que só quando acontecer um incidente ao estilo "Sasser" no Windows - onde bastava ligar um computador Windows à internet para em poucos segundos/minutos ficar infectado - é que este assunto irá saltar para o topo da lista de prioridades.


1 comentário:

  1. Vulnerabilidades nos Android pelos vistos não dão direito a comentários... fico a aguardar por "Vulnerabilidades no iOS" :)

    ResponderEliminar