2020/02/17

Google aconselha Samsung (e outros) a parar de alterar kernel Android


Os investigadores de segurança do Project Zero da Google reforçam as críticas a fabricantes como a Samsung, que na ânsia de tornarem os seus smartphones mais seguros, fazem alterações ao kernel Linux do Android que acabam por ter o efeito oposto, aumentando o número de vulnerabilidades.

Não haverá nada mais frustrante para uma equipa que se esforça por criar um sistema que seja o mais seguro possível, do que ver o seu trabalho ser sabotado por alterações feitas por outras pessoas. É precisamente para essa situação que os investigadores de segurança da Google alertam, dando como exemplo alterações que a Samsung fez nos seus equipamentos Android, que adicionaram vulnerabilidades ao sistema.

De forma mais directa do que indirecta, a Google aponta o dedo aos fabricantes e recomenda que deixem de fazer alterações no kernel Linux do Android, frisando que as supostas "protecções adicionais" que pretendem implementar são, na sua esmagadora maioria, desnecessárias, e que melhor fariam em usar as funcionalidades de segurança já existentes, que são desenvolvidas, testadas, e validadas por muitas mais pessoas.

De notar que isto não é apenas algo que a Google "diz" para os outros fazerem. No final do ano passado também a Google indicou a sua intenção de fazer cada vez menos alterações ao kernel, tendo até o objectivo de utilizar o kernel Linux principal - embora isso seja algo que ainda irá demorar bastante tempo até ser alcançado (se é que poderá ser alcançado). Mas, até lá, a mensagem da Google para os parceiros e fabricantes é simples: deixem de mexer naquilo que não percebem, e de adicionarem vulnerabilidades adicionais ao sistema Android.

1 comentário:

  1. Têm razão, contudo, e porém, a questão é que a empresa para quem trabalham é a mesma que é responsável por grande parte do código do Android e desse saem todos os meses várias correcções de erros que muitas vezes afectam a segurança do dispositivo, logo é natural que os fabricantes mais preocupados tentem fazer modificações ao código para retirar tudo o que não possa ser realmente necessário assim como fazer modificações para tentar dificultar ataques nos dispositivos que comercializam.

    Pode ser que algumas destas modificações realmente tornem o dispositivo mais inseguro, mas outras tornam o sistema mais resistente, e alguns dispositivos de empresas mais focadas na segurança têm demonstrado que algumas dessas modificações de facto ajudam em várias situações de ataque que afectam o sistema Android em teoria, mas depois na prática não na sua implementação devido a diversas modificações feitas já para prevenir muitos de tais ataques.

    ResponderEliminar

[pub]