Google corrige falha de segurança crítica em Pixels, mas deixa outros Androids desprotegidos

O Google corrigiu uma falha de segurança séria nos dispositivos Pixel com o lançamento da atualização de junho. Dispositivos não-Pixel terão que esperar pelo Android 15.

Google corrige falha crítica de segurança apenas nos dispositivos Pixel: o que precisa de saber

Finalmente, o Google resolveu uma falha crítica de segurança que pesquisadores e defensores da segurança têm vindo a alertar desde abril. A questão? O Google incluiu a correção na atualização de recursos de junho para os Pixel, e outros telefones Android não conseguem receber a atualização. A fonte relatou primeiro a correção, e a equipa do GrapheneOS – que primeiro reportou a vulnerabilidade – confirmou que os dispositivos não-Pixel terão de esperar pelo Android 15 para obter uma correção.

Google corrige falha de segurança crítica em Pixels, mas deixa outros Androids desprotegidos 1

Google lançou patch para 50 Vulnerabilidades de Segurança em Dispositivos Pixel

O Google corrigiu 50 vulnerabilidades de segurança na atualização QPR3 do Android 14 para os Pixel. No entanto, uma delas destaca-se por ser uma vulnerabilidade de dia zero. Isto significa que a falha foi explorada ativamente antes de o Google tomar conhecimento dela. As vulnerabilidades de dia zero são as mais graves, e por isso, o Google recomenda que todos os utilizadores do Pixel apliquem a atualização de junho o mais rápido possível.

A empresa partilhou esta informação no Pixel Update Bulletin, onde o Google fornece atualizações sobre problemas de segurança que afetam os dispositivos Pixel ou Android. “Há indicações de que o CVE-2024-32896 pode estar a ser explorado de forma limitada e direcionada”, explica a empresa. De acordo com o GrapheneOS, o CVE-2024-32896 explorado ativamente refere-se ao mesmo exploit que foi anteriormente relatado como CVE-2024-29748. O novo identificador representa a correção exclusiva do Pixel que foi incluída na atualização de junho.

Google corrige falha de segurança crítica em Pixels, mas deixa outros Androids desprotegidos 2

O problema é um problema de elevação de privilégios (EoP) com o firmware Android que o Google classificou como de “alta gravidade” para os Pixels.

Os desenvolvedores acrescentam que dois problemas principais estão a tornar a exploração possível. O primeiro é a memória do sistema não ser apagada ao entrar no modo de inicialização rápida, o que significa que é possível para um exploit aceder à memória do sistema mais antiga. Uma questão separada, mas relacionada, gira em torno do API de administração de dispositivos de código aberto do Android que requer reinicialização para recuperação para apagar – embora isso tenha sido corrigido no Android 14 QPR3.

O primeiro problema foi corrigido anteriormente nos Pixels, e o segundo foi corrigido na atualização de recursos de junho. No entanto, como mencionamos, os telefones e tablets Pixel são os únicos que recebem a correção. Isso ocorre devido à forma como os OEMs Android lançam atualizações de software e correções, e não é totalmente culpa do Google.

Vai gostar de saber:  Google Encerra Suporte ao Android Lollipop Após 10 Anos

Por que outros telefones Android não estão a receber uma correção?

Dado que esta questão foi explorada ativamente e tem uma alta gravidade, provavelmente está a perguntar-se por que outros dispositivos Android não estão a receber uma correção. A verdade é que o Google fez a sua parte, e cabe aos outros OEMs implementar uma correção. A empresa incluiu o patch no Android 14 QPR3, e qualquer dispositivo que receba a atualização do Android 14 QPR3 irá recebê-lo.

Correções como esta são frequentemente adicionadas ao Projeto de Código Aberto Android, ou AOSP, que serve de base para outras versões do Android. Um sistema operativo como o One UI da Samsung ou o OxygenOS da OnePlus usa o AOSP como base. A questão é que os sistemas operativos de terceiros geralmente aplicam atualizações do AOSP anualmente. Assim, a Samsung provavelmente usará a versão AOSP do Android 15 como base para o One UI 7. No entanto, uma versão futura do Android 15 QPR2 ou Android 15 QPR3 não afetaria os dispositivos Samsung Galaxy até ao One UI 8.

Google corrige falha de segurança crítica em Pixels, mas deixa outros Androids desprotegidos 3

Por outras palavras, os dispositivos Google Pixel são os únicos a receber este patch porque são os únicos a receber atualizações mensais, trimestrais e anuais. Teoricamente, uma empresa poderia pegar na correção incluída no Android 14 QPR3 e aplicá-la aos seus telefones. No entanto, como outros OEMs não fazem atualizações trimestrais, os patches de segurança incluídos no Android 14 QPR3 não chegarão aos seus dispositivos até ao Android 15.

Algumas correções de segurança são disponibilizadas para versões mais antigas do Android através de um processo chamado backporting. Isso não acontece para todas as correções. O Google provavelmente deveria ter feito backporting da correção para esta falha de segurança, tendo em mente a gravidade e o seu estado de dia zero. No entanto, não é necessariamente responsabilidade do Google fazê-lo. Além disso, apenas metade dos problemas de segurança estão relacionados com o AOSP. Ninguém pode resolver o primeiro problema descrito acima, exceto cada fabricante.

Conclusão

Este é o mais recente exemplo de como escolher um telefone Android de uma marca que não seja o Google pode colocar um utilizador em risco de segurança. Outras marcas são demasiado lentas a responder a falhas críticas de dia zero com patches, e é um problema real. Às vezes, a culpa é do Google e outras vezes dos OEMs parceiros, e muitas vezes é uma mistura de ambos. De qualquer forma, são os utilizadores que sofrem.

Fonte

Leiam as últimas notícias do mundo da tecnologia no Google News , Facebook  e Twitter e também no nosso Grupo de Telegram
Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado!