Ataque de espionagem explora falha no Android que deveria ter sido eliminada há dois anos

Falha chegou a ser corrigida no código base do Android, mas correção foi 'esquecida' em certas versões do sistema operacional.

Por Altieres Rohr, G1


Segundo uma engenheira do Google, a empresa tem evidências de que o problema está sendo explorado na internet — Foto: Google/Divulgação

O Google descobriu que uma falha do Android, supostamente corrigida em dezembro de 2017, ainda existe em vários celulares atualizados com versões recentes do sistema operacional nas quais a brecha já deveria ter sido eliminada.

O problema apareceu durante a investigação de um ataque atribuído à NSO Group, uma empresa especializada em programas de espionagem.

A lista de modelos vulneráveis inclui a primeira e a segunda geração do Pixel – aparelhos de responsabilidade do próprio Google.

A correção também não foi aplicada em smartphones com Android 8 da Huawei, Xiaomi, Samsung, LG, Motorola e Oppo, mas a lista pode não estar completa, pois a verificação precisa ser feita individualmente em cada dispositivo.

De acordo com Maddie Stone, uma engenheira de segurança digital do Google, uma revisão do código fonte do Android nesses aparelhos apontou que a correção da falha não está presente.

Embora a versão do Android nesses telefones devesse contar com a correção da falha – eram quatro linhas de código de programação – a mudança não foi incluída.

O erro foi inicialmente corrigido no Linux, que serve de base para o Android, e a modificação foi repassada para o código base do Android ainda em dezembro de 2017.

Após isso, o trecho modificado deveria "seguir caminho" para chegar ao Android instalado nos celulares, mas isso não aconteceu.

Detalhes do ataque são desconhecidos

Segundo Maddie Stone, engenheira do Google, a empresa tem evidências de que o problema está sendo explorado na internet. O Grupo de Análise de Ameaças do Google (TAG, na sigla em inglês) também apontou que os ataques teriam o envolvimento do NSO Group.

O NSO Group é uma empresa israelense especializada na produção de ferramentas para que autoridades policiais realizem grampos em smartphones com programas de espionagem.

A empresa é responsável pelo Pegasus, um programa espião que dispõe de versões para Android e iPhone, e que está no centro de diversas polêmicas por ter sido usado contra ativistas e jornalistas.

Não se sabe, porém, se o Pegasus está envolvido neste ataque, nem quais seriam os alvos específicos da ação – a atividade de espionagem do NSO Group costuma ser direcionada a alguns poucos usuários.

O Google também não encontrou o código completo que estaria sendo usado, nem determinou o que acontece com um aparelho invadido.

O que se sabe, de acordo com Stone, é que a exploração da brecha começa pelo navegador Chrome e é capaz de funcionar em vários modelos de celular, sem muitas adaptações específicas para cada aparelho.

Isso é uma vantagem para os hackers, pois muitos ataques necessitam de ajustes finos para cada celular, dificultando ou até inviabilizando o aproveitamento das vulnerabilidades.

Após o estágio inicial dentro do navegador, a vulnerabilidade é explorada para tomar o controle total do telefone, permitindo a instalação de outros aplicativos, o que pode levar ao roubo de dados ou ao rastreamento.

Estudo de 2018 apontou que correções são ignoradas

O Android não é atualizado diretamente pelo Google, diferente do que acontece com o Windows em computadores ou mesmo com o iOS da Apple no iPhone. Cada fabricante precisa incluir as correções de segurança no sistema usado em cada modelo de celular.

Por essa razão, quase sempre existem diferenças entre o código base do Android (chamado de AOSP) e o que é utilizado nos aparelhos comercializados com o sistema.

Um estudo publicado em abril de 2018 apontou fragilidades no processo de atualização, com praticamente todas as marcas deixando uma ou outra atualização de segurança de fora em suas versões do Android.

Quando uma correção é ignorada ou esquecida, o aparelho segue vulnerável mesmo quando ele aparenta estar atualizado.

Essa é a primeira vez, no entanto, que uma dessas falhas aparece em um ataque real e coloca os usuários de Android em risco.

Mas atualizações "esquecidas" não causam apenas problemas de segurança. Em outubro de 2018, diversos usuários ficaram com a hora errada no telefone porque alguns fabricantes não atualizaram o arquivo que coordena o ajuste automático de horário de verão.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com