Notícia: Smartphones Android com chips Qualcomm possuem falhas de segurança

Centenas de milhões de aparelhos Android baseados em chipsets da Qualcomm provavelmente foram expostos a pelo menos uma das quatro vulnerabilidade críticas que permitem que apps sem privilégios assumam o controle do dispositivo.

As quatro falhas foram apresentadas pelo pesquisador de segurança da Check Point Software Technologies, Adam Donenfeld, durante a conferência DEF CON, em Las Vegas, no final de semana.

Esses problemas foram informado à Qualcomm entre fevereiro e abril, e desde então a fabricante de chips liberou correções após classificá-los como “alta severidade”.

Infelizmente, isso não significa que todos os aparelhos já estejam protegidos. Por conta da fragmentação do ecossistema Android, muitos aparelhos rodam versões antigas do sistema e não recebem mais atualizações de software, ou recebem as correções com muito atraso.

Nem mesmo o Google, que libera patches de segurança para a sua linha Nexus de smartphones e tablets Android todo mês, corrigiu todas as falhas.

As vulnerabilidades foram apelidades de QuadRooter porque, caso exploradas, fornecem aos criminosos privilégios de raiz (root) – os mais altos disponíveis em um sistema baseado em Linux como o Android. Individualmente, elas são chamadas de CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 e CVE-2016-5340, ficando localizadas em diversos drivers que são fornecidos pela Qualcomm para as fabricantes de aparelhos.

A Qualcomm já liberou as correções dessas vulnerabilidades para os clientes e parceiros entre abril e julho, afirma o VP de engenharia da fabricante, Alex Gantman.

Enquanto isso, o Google distribuiu apenas três desses patches até o momento por meio dos boletins mensais de segurança para os aparelhos Nexus. Os updates de segurança publicados pelo Google são compartilhados com as fabricantes de smartphones com antecedência e também são publicados no Android Open Source Project (AOSP).

Os aparelhos rodando o Android 6.0 (Marshmallow) com patches de 5 de agosto devem estar protegidos contra as falhas CVE-2016-2059, CVE-2016-2503 e CVE-2016-2504. Já os dispositivos com Android 4.4.4 (KitKat), 5.0.2 e 5.1.1 (Lollipop) que incluem os patches de 5 de agosto também devem ter as correções para as falhas CVE-2016-2503 e CVE-2016-2504, mas ainda seriam vulneráveis à versão CVE-2016-2059 da exploit.

A quarta vulnerabilidade, CVE-2016-5340, continua sem uma correção liberada pelo Google, mas as fabricantes de aparelhos podem obter a correção para ela diretamente pelo projeto open-source Code Aurora, da Qualcomm.

“Essa falha será corrigida em um próximo boletim de segurança Android, apesar de os parceiros d Android poderem agirem antes ao fazerem referência ao patch público que a Qualcomm liberou”, afirmou um representante do Google.

Segundo a gigante, explorar qualquer uma dessas quatro vulnerabildades envolveria o download de aplicativos maliciosos pelos usuários.