O Android é realmente inseguro? Perguntamos aos especialistas
O Android é a plataforma móvel mais usada no planeta. Mais de 1,4 bilhão de pessoas usam um smartphone ou tablet Android todos os dias, e o fato de ser de código aberto e gratuito para uso dos fabricantes é uma grande parte dessa popularidade. Mas a abertura é uma faca de dois gumes: levou a uma situação em que muitos telefones Android não são atualizados regularmente com os patches de segurança mais recentes.
O espectro do malware pairou sobre Android nos últimos anos, com pesquisadores descobrindo vulnerabilidades de alto perfil, como Medo do palco. As notícias negativas chegam tão densas e rápidas que pode ser difícil colocá-las em perspectiva. Na semana passada, informamos sobre Malware FalseGuide, que pode ter impactado até 1,8 milhão Android Usuários.
Indo apenas para as manchetes, você seria perdoado por ter dúvidas sobre Android segurança, mas onde está o limite entre a hipérbole e o risco genuíno? A plataforma é realmente insegura?
Relacionado
O que é armazenamento UFS 3.0? Perguntamos a um especialista sobre SSD para telefones
“Não, não é inseguro. Acho que temos um problema de percepção, mas é muito diferente do risco real do usuário”, Adrian Ludwig, diretor de Android Segurança, disse Digital Trends em uma entrevista recente. “O trabalho criptográfico que temos feito, o sandbox que temos feito e muito do trabalho para tornar a exploração mais difícil estão todos funcionando perfeitamente.”
Não há dúvida de que as versões mais recentes do Android são mais seguros que seus antecessores, mas o problema é que muitos Android os usuários nunca sentem o benefício. Olhando para trás em 2016 em um postagem no blog, o Android A equipe de segurança admitiu que cerca de metade dos dispositivos em uso no final de 2016 não recebia atualização há pelo menos 12 meses.
“Oitenta e quatro por cento dos telefones não são atualizados, o que significa que a maioria dos dispositivos móveis ainda está em risco.”
“Versões atualizadas do Google Android pode ser considerado seguro”, disse Maik Morgenstern, CEO da organização de classificação de antivírus AV-Test, à Digital Trends. “Mas especialmente em muitos mais velhos Android versões, mais e mais vulnerabilidades estão surgindo e muitos fornecedores não fornecem atualizações para seus dispositivos. Atualmente, mais de 800 vulnerabilidades são conhecidas.”
Se olharmos para o números oficiais de distribuição para Android em abril, descobrimos que apenas 4,9% dos Android os dispositivos executam as versões mais recentes, Nougat 7.0 ou 7.1. Essa é uma fatia decepcionantemente pequena do total. Olhando mais para trás, Android O 6.0 Marshmallow está sendo executado em 31,2% dos dispositivos, Android 5.0 ou 5.1, Lollipop, está em 31% dos dispositivos e um quinto dos Android dispositivos ainda estão funcionando Android 4.4KitKat. A maioria desses dispositivos rodando versões mais antigas do Android dificilmente serão atualizados.
“Oitenta e quatro por cento dos telefones não são atualizados, o que significa que a maioria dos dispositivos móveis ainda está em risco”, disse Joshua J. Drake, vice-presidente de pesquisa e exploração de plataformas da Zimperium, disse à Digital Trends.
A Zimperium é uma empresa de segurança móvel; Drake descobriu a vulnerabilidade Stagefright em 2015. Tinha o potencial de dar aos hackers o controle de um Android dispositivo através de código malicioso em um arquivo de áudio ou vídeo – e até 95% dos dispositivos eram vulneráveis a ele, de acordo com relatórios da época. Drake nos disse que alguns dispositivos ainda estão vulneráveis hoje.
Embora o dano potencial tenha sido assustador, não está claro qual o impacto sobre Android usuários era.
“Aqui estamos há um ano e meio, quase dois anos desde que descobrimos isso, e ainda não sabemos se alguém foi realmente afetado”, disse Ludwig.
Mas Drake discorda.
Maik Morgenstern, CEO e Diretor Técnico da AV Test
“Sabemos que houve ataques direcionados usando vulnerabilidades no libstagefright e no mediaserver”, disse ele. “Sabemos que é difícil provar uma negativa em geral e respeitamos os esforços do Google para proteger melhor sua plataforma, mas sem um sensor no dispositivo, não há como saber o status de risco ou ameaça de qualquer dispositivo – especialmente um móvel.”
O problema é que não é fácil saber se você foi atacado com sucesso. Após a descoberta do Stagefright, a empresa de segurança fundou o Aliança de aparelhos Zimperium para impulsionar a comunicação entre pesquisadores, operadoras de redes móveis, desenvolvedores de aplicativos móveis e fornecedores de dispositivos.
“Os pesquisadores precisam ser incentivados a analisar as atualizações mensais de segurança e tentar explorar essas vulnerabilidades, a fim de promover melhores patches e um mundo móvel mais seguro em geral”, disse Drake.
O Google tomou algumas medidas importantes para reduzir os riscos de segurança, lançando patches mensais e detalhando elementos de Android para facilitar o envio de atualizações. Mas versões mais antigas de Android foram deixados para trás.
O Problema de fragmentação do Android não é facilmente resolvido. Persuadir operadoras e fabricantes a atualizarem seus Android dispositivos provou ser muito difícil para o Google. Jogou diretamente nas mãos da oposição. Tim Cook, da Apple, fez referência famosa a um Artigo ZDNet intitulado "Android fragmentação transformando dispositivos em um inferno tóxico de vulnerabilidades” em um slide na WWDC em 2014. Mas o iOS é realmente muito melhor? E se sim, por quê?
“Tem havido a impressão de que a segurança do iOS é superior à Android segurança, mas esse não é necessariamente o caso”, disse Drake.
Porque Android é de código aberto, é mais fácil para os pesquisadores de segurança encontrar falhas e sugerir soluções. A natureza fechada do iOS torna mais difícil para os pesquisadores verem o que está acontecendo, disse ele. Morgenstern concorda com esta avaliação, mas aponta para uma diferença importante que torna o malware um risco maior para Android.
“Até que cada atualização chegue a todos os dispositivos, ainda estaremos em risco.”
"Para Android usuários, é fácil instalar aplicativos de qualquer fonte”, explica Morgenstern. “Esse fato facilita a inserção de aplicativos maliciosos no dispositivo. A forma como outras plataformas lidam com isso é muito mais rigorosa, permitindo apenas instalações de seus mercados fechados.”
Android é um grande alvo. Com uma base de usuários tão grande e código-fonte aberto, é uma presa atraente para os cibercriminosos. AV-Test registra até 30.000 novos Android amostras de malware todos os dias. Esse é um número assustador, mas preocupante Android os usuários podem tomar medidas para reduzir drasticamente os riscos aderindo ao Google Play para aplicativos, atualizando dispositivos assim que os patches são disponibilizados e usando aplicativos de segurança Android de terceiros.
Tanto Drake quanto Morgenstern também alertam contra a conexão a redes desconhecidas e pontos de acesso Wi-Fi, pelo menos sem usar um uso decente. Aplicativos VPN para Android.
“Nossos dados mostram que a maioria dos ataques são de natureza de rede e não discriminam entre iOS, Android, ou outro”, explica Drake. “Depois que um invasor intercepta e redireciona silenciosamente o tráfego da sua rede, qualquer dispositivo fica perigosamente vulnerável a vigilância invasiva, pesca submarina personalizada, entrega de exploração de plataforma ou qualquer outro ataque subsequente.”
Android a segurança está melhorando. Podemos apontar atualizações mais rápidas, criptografia de dispositivos, solicitações de permissão, sandbox de aplicativos para isolar aplicativos uns dos outros, acesso restrito a recursos e verificação automática de malware no Play Loja. Mas obviamente ainda há trabalho a ser feito.
“No ano passado pagamos quase um milhão de dólares a investigadores”, disse Ludwig, do Google, quando questionado sobre a importância da investigação de terceiros. Mas, apesar deste programa de pesquisa, Drake sente que é necessário mais.
"Melhorar Android segurança em geral, é fundamental que o Google trabalhe mais próximo dos fornecedores de segurança”, disse ele. “A Apple e outros fornecedores aumentaram a sua cooperação, mas o Google diminuiu-a. A filosofia do Google é que eles podem fazer tudo sozinhos, mas isso só prejudica seus usuários e, infelizmente, beneficia os autores de malware.”
Em última análise, a questão Android a segurança pode depender do dispositivo que você usa. Se você tem um telefone com dois ou três anos de idade que executa uma versão mais antiga do Android e não é atualizado há meses, você tem motivos para preocupação. Os proprietários do Pixel do Google, por outro lado, recebem as atualizações de segurança mais recentes em tempo hábil, pelo menos nos próximos anos.
É difícil dizer quanto tempo levará antes que a maioria Android dispositivos estão executando o Nougat ou uma versão posterior do Android, mas mesmo assim o ritmo lento das atualizações de alguns fabricantes e operadoras continuará sendo um problema.
“Até que cada atualização chegue a todos os dispositivos, ainda estaremos em risco”, disse Morgenstern.
Você pode encontrar conselhos mais úteis sobre como se manter seguro em seu Android telefone em nosso Guia de segurança do Android.
Recomendações dos Editores
A radiação do telefone celular é realmente perigosa? Perguntamos a alguns especialistas
