2018/08/11

Asus, Essential, LG e ZTE na lista dos smartphones vulneráveis de origem


Depois do relato de que há milhões de smartphone que contêm vulnerabilidades "de origem", a empresa de segurança Kryptowire revela alguns dos modelos em concreto, que incluem smartphones da Asus, Essential, LG e ZTE.

Muitas vezes temos pedido aos fabricante para que se foquem em fazer apenas o hardware e deixem de mexericar no Android, e novamente temos mais um caso que nos dá razão.  Alterações feitas ao sistema por parte dos fabricantes adicionam vulnerabilidades que deixam os utilizadores em risco, sendo que nalguns casos se arriscam a dar total controlo do dispositivo a um atacante que os consiga convencer a instalar uma app aparentemente inocente e que nem sequer necessita de pedir permissões especiais que pudessem levantar suspeitas quanto às suas intenções.

Embora ainda não apresente ainda uma lista exaustiva (para dar tempo aos fabricantes afectados para lançarem actualizações), a Kryptowire avança desde já com modelos como:

  • Asus ZenFone V Live - permite o controlo total por parte de um atacante, incluindo captar screenshots e vídeos do que se passa no ecrã, fazer chamadas telefónicas, ler e modificar SMS, etc.
  • ZTE Blade Spark e Blade Vantage - permite o acesso a SMS e registo de chamadas, e também o log de sistema que pode incluir informação como endereços de email, coordenadas GPS, etc.
  • LG G6 - também permite o acesso a este registo de sistema, e também bloquear o acesso de aceder ao smartphone.
  • Essential Phone - permite que um atacante faça um reset de fábrica, apagando todos os dados do smartphone.
Todas estas falhas já foram corrigidas ou estão em processo de o serem, mas há outros fabricantes que ainda não foram referidos, para que tenham tempo para fazerem as correcções. (Sem querer parecer um "arauto da desgraça", o facto de dizerem que estas falhas afectavam milhões de clientes faz-me suspeitar que também a Samsung vá aparecer na lista... mas em breve saberemos.)


A Google, por seu lado, faz questão de referir que todas as falhas encontradas não são referentes ao sistema Android, mas sim a alterações feitas pelos fabricantes nos seus equipamentos. No entanto, a imagem que passa para o público será a de que é o "Android" a ser vulnerável... pelo que se calhar, está na altura de começar a limitar um pouco mais as alterações que os seus parceiros podem fazer ao Android.

6 comentários:

  1. "A Google, por seu lado, faz questão de referir que todas as falhas encontradas não são referentes ao sistema Android, mas sim a alterações feitas pelos fabricantes" - e os operadores - "nos seus equipamentos."

    "Ah e tal, o iOS é um sistema fechado, o Android é que dá montes de liberdade".
    Depois, quando essa liberdade dá nisto: "Ah e tal, tanta também não. Notem que isto não é um problema do Android - é dos clientes. Quem é que os manda comprar Androids adulterados?! Não sabem já que os fabricantes e os operadores fazer marosca! Não digam é que a culpa é do Android!".

    "Ah e tal, mas tem montes de gente a examinar o código à procura de vulnerabilidades ...". Neste caso, nem dizem há quanto tempo elas existem, apenas que as comunicaram aos fabricantes há 6 meses e que em alguns modelos os fabricantes já lançaram as correções (falta saber se os operadores não as impediram ou e se os utilizadores autorizaram a instalação).

    Das vulnerabilidades criadas pelos operadores nem se fala. Dos restantes fabricantes e modelos há-de se falar, nos próximos seis meses.

    ResponderEliminar
    Respostas
    1. Sabes que o mundo não é feito de extremos, certo? Há muitas maneiras de permitir que o Android permaneça aberto mas dificulte o processo de terceiros criarem vulnerabilidades. O Project Treble já vem um pouco nesse sentido.

      Aliás, tens exemplos disso na Apple, com todas as limitações impostas para que apps mal feitas não se comportem demasiado "mal" em multitasking, e sejam terminadas caso estejam a gastar CPU em excesso, etc. (algo que o Android também veio a replicar mais tarde - com evoluções em sentido oposto: o Android permitia o multitasking para tudo, o iOS nem o tinha, depois permitindo alguns casos especiais).

      ... De resto, mesmo sem interferência de outros fabricantes ou operadores, não te deverás esquecer das muitas vulnerabilidades que permitiam entrar no macOS sem password, roubar password, ter acesso à password de discos encriptados, obter acesso root sem password... enfim... telhados de vidro.

      Eliminar
    2. Uma coisa é certa - no iOS há as vulnerabilidades que vêm no SO e ninguém lhe acrescenta mais, fabricantes e operadores. E a questãozinha principal que é - quanto tempo leva a corrigir uma vulnerabilidade no iOS (e no MacOS) e se e quando chega a ser corrigidas no Android.

      O Project Treble é um bom exemplo. "Vem aí o Project Treble para resolver ... nos que tenham o Android O". Quando já foi lançado o P, fabricantes como a Samsung só vão agora atualizar modelos para o O. Porradaria de smartphones Android nunca vão ter o O - o que é uma boa forma de obrigar a comprar novos, diga-se de passagem ;-)

      E o Treble é para permitir aos fabricantes lançarem as atualizações da Google. Não vejo como é que sirva para corrigir vulnerabilidades criadas pelos próprios fabricantes e os operadores, que é o caso do post.

      Quanto aos telhados de vidro, o que vejo é um alarido do caraças por coisas como o o símbolo indiano que crashava o iPhone e foi corrigido rapidamente. No Android, vulnerabilidades graves, conhecidas há 6 meses, são para corrigir às mijinhas - se forem.

      Eliminar
    3. Lol. Se tem vulnerabilidades, tem vulnerabilidades; se as vai corrigindo, não chega. No entanto, no campo oposto é só alarido e sem efeito.
      Pegando nas tuas palavras, já te imaginaste que com tantas vulnerabilidades graves e flagrantes a afectar "centenas de milhões de equipamentos", há anos(!), a plataforma ainda não tenha implodido?
      Se calhar é porque mesmo com todas as condicionantes, a Google tem encontrado formas de resolver os problemas (os Google Play Services, que aparentemente ignoras, serão um dos métodos, que para todos os efeitos leva actualizações a Android tão antigos quantos os 4.4; entre outros sistemas).

      ... Se é alarido para um lado, se calhar também o é para o outro...
      (Curioso como desta vez também te passou ao lado a questão de que estas vulnerabilidades referidas também já foram corrigidas pelos fabricantes... enfim... se fosse uma vulnerabilidade dos sistemas Apple não te terias esquecido de frisar isso...)

      Eliminar
    4. Não implodiu porque não há alternativa para a maioria das pessoas. Só voltando ao Nokia OS que o Android substituiu. O Windows Mobile deu o berro e a Apple não fabrica equipamentos baratos.

      Que o Android é um perigo público não tenho dúvidas. Já tem 10 anos e situações como as do post são uma atrás das outras. Vão é procurando tapar o sol com uma peneira.

      "Ah o pessoal do iOS, os iSheeps, é só para armar ao pingarelho, para fingir que são ricos!". Eu não. Gostava bastante de comprar um Android barato - e seguro.

      Eliminar
    5. Para perigo público com 10 anos, concordarás que estás há 10 anos a gritar "lobo" sem que o lobo tenha aparecido... Mas podes continuar a fazê-lo durante a próxima década... ou até que percas a voz. (E gostei do pormenor de considerares o *Android* o perigo, quando ainda há pouco se falava que o perigo eram coisas que fabricantes e operadores faziam ao sistema).

      Quando a Android baratos e seguros, se gostavas, compra, porque não faltam opções. E mesmo que não queiras confiar em nenhum fabricante ou operador, não te faltam modelos com Android One por 100 e 200 euros que te deixarão muito bem servido durante os próximos 3 ou 4 anos.

      Por fim, e tendo em conta recentes comentários (pertinentes) e a valorização do nosso tempo, pedia-te encarecidamente que te tentasses cingir a comentários menos inflamatórios e mais construtivos.

      Como bem saberás, este é um espaço onde todos gostam de *toda* a tecnologia em geral, e que visa promover discussões construtivas sobre o tema - mesmo quando se tratam de críticas a coisas que poderiam/deveriam ser melhoradas. Tentar fazer um contraponto à tua posição faz passar uma imagem minha que não corresponde à realidade (como demonstrado por um comentário de quem cá chegou "a meio" da discussão) - e isso parece-me ser um sinal claro de que a conversa já foi para além dos limites em que se deveria manter.

      Nada tenho contra continuar a discussão (saudável) em local mais apropriado... Garanto-te que não há violência nos nossos meetings mensais, onde se sentam à mesa, lado a lado, fãs de Android com fãs de iPhones, e todos se dão bem e conseguem discutir de forma civilizada.

      Eliminar