A segurança tem sido uma das grandes melhorias feitas nas ultimas versões do Android, mas ainda assim existem casos onde são descobertas falhas graves no sistema que, devido à popularidade do sistema, podem afetar milhões de utilizadores.
É este o caso que foi recentemente descoberto sobre uma vulnerabilidade Zero-day no Android, que pode permitir o controlo completo de dispositivos de fabricantes como a Google, Huawei, Xiaomi, Samsung, entre outros.
A equipa do Project Zero da Google revelou a informação sobre um exploit no Android, que se encontra a ser usado ativamente para aproveitar uma falha existente no kernel de várias versões adaptadas do Android, com o objetivo de se obter permissões administrativas no sistema e ser possível aplicar o root no mesmo.
A piorar a situação, a falha pode ser utilizada diretamente a partir do navegador Chrome e qualquer outro baseado no motor de renderização deste, permitindo a sua exploração a partir de websites criados especificamente para o efeito.
Ou seja, através da exploração desta falha, utilizadores maliciosos podem realizar a instalação de aplicações no sistema ou aplicar o root no mesmo sem que os utilizadores dos dispositivos tenham conhecimento de tal. Como a falha pode também ser conjugada com outra sobre o Chrome, é possível também explorar a mesma a partir da web.
A vulnerabilidade encontra-se marcada como de “elevado risco”, com os investigadores a sublinharem que a falha encontra-se já a ser aproveitada para atividades por utilizadores maliciosos.
Esta vulnerabilidade teria sido corrigida sobre o kernel 4.14 LTS, lançado em Dezembro de 2017, mas foi de forma silenciosa e sem nenhuma indicação publica da existência da vulnerabilidade. Por esse motivo, a correção não foi aplicada na versão adaptada do kernel do Linux para sistemas Android, e consequentemente terá deixado milhares de dispositivos vulneráveis desde então.
Entre a lista de dispositivos afetados pela falha encontram-se:
- Google Pixel
- Google Pixel XL
- Google Pixel 2
- Google Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- LG com sistema Android Oreo
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
De acordo com o portal XDA-Developers, esta lista não é exaustiva, já que o número de dispositivos afetados pode ser consideravelmente superior.
Espera-se que a correção da falha seja fornecida no patch de segurança de Outubro do Android, mas mesmo assim esta atualização pode não chegar a muitos dos dispositivos afetados pela falha.
Durante este período, o recomendado será evitar a instalação de aplicações desconhecidas ou a utilização de navegadores baseados no Chrome.
Nenhum comentário
Seja o primeiro!