🤾🏾 📹 💪🏾 Ninguém se importa com a segurança de telefones Android desbloqueados 🚴 😕 🐍

Não é possível que a Amazon participe do lançamento do principal produto, que possui uma porta dos fundos, e secretamente envie todas as suas informações pessoais para um servidor incompreensível na China. Obviamente, seus desenvolvedores ou parceiros de produção teriam detectado esse comportamento durante uma auditoria de segurança de rotina. Isso simplesmente não pode acontecer, certo?

Ninguém se importa com a segurança de telefones Android desbloqueados que não estão vinculados a um provedor, vendidos nos Estados Unidos (e em muitas outras regiões). Os OEMs que fabricam e fornecem telefones Android não dão a mínima; O Google, provedor da plataforma Android, não se importa; varejistas como Amazon e Best Buy, que vendem milhões de telefones Android anualmente, não dão a mínima. O pior de tudo é que o usuário médio não dá a mínima para a segurança do computador até que algo ruim aconteça, e é por isso que tudo continua.

Esse sempre foi o caso dos dispositivos Android, mas o Google começou a levar essa situação mais a sério no verão de 2015, quando o bug do Stagefright foi amplamente divulgado na mídia. Especialistas em segurança dizem que os dispositivos do Google, Nexus e Pixel, chegaram perto do iOS pelos padrões de segurança, mas no geral a situação piora quando a maioria dos consumidores compra smartphones com software não suportado pelo Google.

Lembramos desse grave problema quando a Amazon teve que se lembrar do BLU R1 HD , seu telefone mais vendido, depois que um especialista em segurança descobriu uma porta escondida atrás dela graças a uma "combinação de curiosidade e coincidência de sorte". Esses dispositivos, bem como alguns outros modelos BLUcoletou e transmitiu informações pessoais para um servidor na China a cada 24 a 72 horas. Esse comportamento não foi percebido pelo usuário. Os dados incluíam a posição exata do dispositivo, mensagens de texto, listas de contatos, registros de chamadas, aplicativos instalados e assim por diante.

O diretor do BLU disse ao NYTimes que "obviamente não sabíamos nada sobre isso", e admitiu um erro. E embora seja bom que ela tenha corrigido tão rapidamente, é muito preocupante que nem o BLU nem a Amazon o tenham capturado por conta própria desde que o telefone foi lançado em julho de 2016.

Como isso pôde acontecer?

Honestamente, não consigo imaginar como esse batente poderia entrar no mercado e passar despercebido por tanto tempo, então fiz uma pequena pesquisa. Trabalhei para OEMs do Android, tenho um entendimento comum de que todas as versões de software com os serviços móveis do Google devem passar no teste do Compatibility Test Suite (CTS). Uma breve conversa com especialistas em segurança de computadores me abriu os olhos para a gravidade dos problemas de segurança.O

Google mantém uma lista negra de software ruim que não pode ser entregue com telefones Android. Fiquei surpreso que o Google e o BLU estavam cientes de uma das vulnerabilidades associadas ao aplicativo ADUPS nos chips Mediatek em 2015 - um ano antes do lançamento do BLU R1 HD. Equipe de Segurança Naga Vermelhaencontrou a vulnerabilidade em 1º de março de 2015 e fez várias tentativas para eliminá-la, mas se deparou com o fato de que "o BLU não possui um departamento de segurança e, portanto, não pode ajudar ".

Após o silêncio de Mediatek e a falta de ajuda do BLU, o Google finalmente aceitou o patch no CTS para verificar o soquete do sistema ADUPS. Isso deveria ter resolvido o problema, mas depois disso o Mediatek simplesmente mudou o nome do soquete para enganar a verificação do CTS.

Simplificando, o CTS do Google não detecta vulnerabilidades que não conhece. E Mediatek é uma reincidência que ignora periodicamente o teste CTS, e alguns especialistas do setor de segurança o chamam de o pior fabricante de chipsets.

Embora a Mediatek tenha uma má reputação de segurança, ela ainda vence concursos de desenvolvimento porque faz todo o trabalho duro para os parceiros OEM escolherem suas plataformas. Se você deseja iniciar um dispositivo de maneira rápida e barata no Android, o Mediatek geralmente é uma solução acessível.

Isso pode ser evitado novamente?

Todos nós precisamos nos preocupar com backdoors ocultos, mas um problema mais sério são as vulnerabilidades conhecidas que não são corrigidas na maioria dos dispositivos Android. O Google está tentando resolver esse problema prestando atenção a ele. A empresa publica análises mensais de segurança, boletins de segurança do Android e força os OEMs a mostrar o nível do Patch de segurança do Android nas configurações do dispositivo.

Depois que o FTC forçou a HTC a corrigir vulnerabilidades conhecidas em 2013 , os OEMs e as operadoras de celular adotaram algumas medidas, e a maioria dos principais dispositivos vendidos nas lojas recebe regularmente atualizações. Mas nem todos os dispositivos os recebem e não há garantia de que os dispositivos serão suportados por um longo tempo.

O progresso ocorre apenas quando algo quebra, e a mídia começa a foder o Google e seus parceiros. Por exemplo, o já mencionado Stagefright forçou a FCC e a FTC a unir forças para "entender melhor e, como resultado, melhorar a segurança dos dispositivos móveis", mas os resultados deste estudo ainda não foram publicados.

Posso prever a que conclusão eles chegarão no relatório. Não há incentivo para os OEMs investirem no suporte às correções de segurança do dispositivo após o lançamento. O lançamento de atualizações leva tempo e dinheiro, e essa direção não afeta a tomada de decisão do consumidor. A maioria dos OEMs não deseja gastar dinheiro extra para melhorar a segurança, desde que os consumidores não desejem pagar por eles.

Quem pode consertar isso?

A culpa é de toda a cadeia de suprimentos, mas em um futuro próximo não devemos esperar melhorias. Algumas reflexões sobre o que diferentes jogadores podem fazer para melhorar a segurança dos telefones Android.

Google : mantém uma lista de OEMs bons e ruins sobre como eles mantêm atualizações de segurança e lançamento, e há rumores de que envergonham publicamente os piores fabricantes - mas, ao fazê-lo, isso prejudicará o relacionamento com os parceiros. Se o Google realmente quiser melhorar a segurança, poderá encontrar uma maneira de informar aos consumidores quais OEMs, fabricantes de componentes e outros parceiros não são bons em proteger os dados do usuário. Por exemplo, você se sente seguro ao comprar produtos BLU ou um dispositivo com chip da Mediatek? O Google pode alterar sua próxima especificação dessa maneiraDocumento de definição de compatibilidade do Android , para exigir a entrega de dispositivos com um patch de segurança do nível apropriado e manter esses dispositivos por algum tempo.

OEM : Quando trabalhei na Huawei, tentei prestar atenção aos problemas de segurança trabalhando com a equipe internacional de Honra no programa de atualização de software de 24 meses . Para minha surpresa, a equipe de marketing não quis mencionar isso durante o lançamento do produto, mas tenho orgulho de que naquele momento nos tornamos o único OEM que possuía regras semelhantes. Eles não são perfeitos, mas melhores que nada. Somente o Google garanteliberar atualizações relacionadas à segurança três anos após o lançamento dos dispositivos Pixel e Nexus. Gostaria que mais OEMs tomassem essa iniciativa e desenvolvessem suas próprias regras de atualização de software.

Varejistas : a Amazon fez a coisa certa suspendendo o BLU R1 HD, mas seguindo essa lógica, eles precisam bloquear outros dispositivos de venda com problemas de segurança conhecidos. Ao escolher um dispositivo na loja Amazon, é fácil para o consumidor descobrir quais redes ele suportará, mas não há informações sobre o nível de segurança que ele fornece.

Navegadores de tecnologia: Continue a denunciar um mau comportamento do OEM do Android. Concentre a atenção nas revisões sobre como o software é suportado e o histórico de suas atualizações. Eduque seu público para que as pessoas possam tomar decisões de compra informadas.

Consumidores : peço que você vote com sua carteira e compre dispositivos de empresas que levam sua segurança a sério - mas a escolha deles é muito limitada. Além dos telefones Nexus anteriores e do Pixel atual, não há muitas opções disponíveis para pessoas que valorizam sua privacidade e segurança.

Ninguém se importa com a segurança de telefones Android desbloqueados

Como isso pôde acontecer?

Isso pode ser evitado novamente?

Quem pode consertar isso?

More articles: