Pesquisadores de segurança da empresa de consultoria Exodus Intelligence revelaram deficiências na atualização de segurança distribuída pelo Google para eliminar um conjunto de falhas graves que afetam quase um bilhão de celulares com o sistema operacional Android. Segundo eles, ainda é possível explorar pelo menos uma das vulnerabilidades.

As vulnerabilidades foram inicialmente encontradas por Joshua Drake da Zimperium Mobile Security. Os problemas foram relatados ao Google e em abril, além dos detalhes das falhas, Drake também propôs alterações para o código do Android. Segundo o pesquisador, o Google aceitou as soluções propostas, sem ressalvas.

Drake encontrou diversos problemas no Stagefright, um componente do Android responsável por reproduzir vídeos. Diversos apps para Android fazem uso do Stagefright como mecanismo de reprodução de vídeo, o que cria muitas oportunidades de ataque, incluindo mensagens com vídeos em anexo. Como os problemas existem desde o Android 2.2, estima-se que 950 milhões de aparelhos estejam vulneráveis.

No início de agosto, o Google anunciou uma atualização e disse que fabricantes parceiros como Samsung, LG, HTC e Sony já estavam repassando as atualizações aos consumidores.

Mas Jordan Gruskovnjak, da Exodus, descobriu também no início deste mês que as correções de Drake - que devem ter sido revisadas por um engenheiro do Google - são deficientes. Uma das correções, que alterou apenas quatro linhas de código, é insuficiente e ainda permite que a brecha seja explorada, desde que o ataque seja modificado.

Gruskovnjak afirma que a brecha ainda pode ser explorada, mas não desenvolveu um código de ataque. Em testes, ele já conseguiu travar um celular atualizado, embora o aparelho devesse ser imune ao problema e exibir uma mensagem dizendo que o arquivo de vídeo aberto é inválido.

O Google foi comunicado pela Exodus no dia 7 de agosto, mas as atualizações deficientes continuaram a ser repassadas para os parceiros. A Exodus publicou os detalhes técnicos do problema na quinta-feira passada (13). A empresa justificou a divulgação dos detalhes com a aparente falta de interesse do Google na questão. Segundo a Exodus, o problema foi confirmado pelo Google, mas não há previsão de quando a nova atualização será repassada aos consumidores.

Outra justificativa da Exodus é o tempo decorrido desde a descoberta da falha por Drake. Como a brecha foi relatada ao Google em abril, a empresa já teve 120 dias para lidar com o problema. O Google, que tem colaboradores trabalhando em pesquisa de segurança em softwares de outras empresas, dá prazo de 90 dias para que desenvolvedores corrijam um problema.

Os prazos do Google já acabaram revelando falhas no Windows, da Microsoft, e OS X, da Appel, mesmo antes de existir uma atualização que corrigisse as falhas.

Imunidade parcial
Embora a brecha exista desde o Android 2.2, versões mais recentes do sistema empregam tecnologias de segurança que dificultam a exploração prática da vulnerabilidade. Com isso, 90% - ou 855 dos 950 milhões - dos aparelhos vulneráveis estão protegidos contra o ataque, mesmo sem a atualização.