Home > Notícias

Aparelhos Android com chips Qualcomm possuem vulnerabilidades

Fabricante de chips já liberou patches para vulnerabilidades, mas demora do Google em agir e fragmentação do sistema deixam usuários expostos.

PC World / EUA

08/08/2016 às 15h10

androidmalware01_625.jpg
Foto:

Centenas de milhões de aparelhos Android baseados em chipsets da Qualcomm provavelmente foram expostos a pelo uma de quatro vulnerabilidade críticas que permitem que apps sem privilégios assumam o controle do dispositivo.

As quatro falhas foram apresentadas pelo pesquisador de segurança da Check Point Software Technologies, Adam Donenfeld, durante a conferência DEF CON, em Las Vegas, no final de semana. 

Esses problemas foram informado à Qualcomm entre fevereiro e abril, e desde então a fabricante de chips liberou correções após classificá-los como “alta severidade”.

Infelizmente, isso não significa que todos os aparelhos já estejam protegidos. Por conta da fragmentação do ecossistema Android, muitos aparelhos rodam versões antigas do sistema e não recebem mais atualizações de software, ou recebem as correções com muito atraso.

Nem mesmo o Google, que libera patches de segurança para a sua linha Nexus de smartphones e tablets Android todo mês, corrigiu todas as falhas.

As vulnerabilidades foram apelidades de QuadRooter porque, caso exploradas, fornecem aos criminosos privilégios de raiz (root) - os mais altos disponíveis em um sistema baseado em Linux como o Android. Individualmente, elas são chamadas de CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 e CVE-2016-5340, ficando localizadas em diversos drivers que são fornecidos pela Qualcomm para as fabricantes de aparelhos.

A Qualcomm já liberou as correções dessas vulnerabilidades para os clientes e parceiros entre abril e julho, afirma o VP de engenharia da fabricante, Alex Gantman.

Enquanto isso, o Google distribuiu apenas três desses patches até o momento por meio dos boletins mensais de segurança para os aparelhos Nexus. Os updates de segurança publicados pelo Google são compartilhados com as fabricantes de smartphones com antecedência e também são publicados no Android Open Source Project (AOSP).

Os aparelhos rodando o Android 6.0 (Marshmallow) com patches de 5 de agosto devem estar protegidos contra as falhas CVE-2016-2059, CVE-2016-2503 e CVE-2016-2504. Já os dispositivos com Android 4.4.4 (KitKat), 5.0.2 e 5.1.1 (Lollipop) que incluem os patches de 5 de agosto também devem ter as correções para as falhas CVE-2016-2503 e CVE-2016-2504, mas ainda seriam vulneráveis à versão CVE-2016-2059 da exploit.

A quarta vulnerabilidade, CVE-2016-5340, continua sem uma correção liberada pelo Google, mas as fabricantes de aparelhos podem obter a correção para ela diretamente pelo projeto open-source Code Aurora, da Qualcomm.

“Essa falha será corrigida em um próximo boletim de segurança Android, apesar de os parceiros d Android poderem agirem antes ao fazerem referência ao patch público que a Qualcomm liberou”, afirmou um representante do Google.

Segundo a gigante, explorar qualquer uma dessas quatro vulnerabildades envolveria o download de aplicativos maliciosos pelos usuários.

Posição Qualcomm

A Qualcomm Brasil, por meio da sua assessoria, enviou o seguinte comunicado sobre o assunto. “Prover tecnologias que priorizam máxima segurança e privacidade é uma das maiores prioridades para a Qualcomm Technologies, Inc. (QTI). Fomos notificados pelo pesquisador sobre essas vulnerabilidades entre os meses de fevereiro e abril deste ano e disponibilizamos patches para todas as quatro vulnerabilidades para nossos clientes, parceiros e para a comunidade de open source, entre os meses de abril e julho. Os patches também foram postados no CodeAurora. A Qualcomm continua trabalhando de maneira proativa internamente, utilizando ferramentas de pesquisa para identificar e registrar possíveis vulnerabilidades de segurança.”

 

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail