Mitos sobre segurança móvel #4: sem a última versão do Android, não recebo updates

Mitos sobre segurança móvel #4: sem a última versão do Android, não recebo updates

Já desvendamos muitos mitos desde que começamos com esta série. Além disso, também discutimos sobre o crescimento do malware no mundo dos dispositivos móveis. Desde então, temos comprovado que a popularidade de uma ideia não a torna verídica, pelo menos desde um ponto de vista técnico. Agora nos focaremos em discutir sobre a forma em

Já desvendamos muitos mitos desde que começamos com esta série. Além disso, também discutimos sobre o crescimento do malware no mundo dos dispositivos móveis. Desde então, temos comprovado que a popularidade de uma ideia não a torna verídica, pelo menos desde um ponto de vista técnico. Agora nos focaremos em discutir sobre a forma em

Já desvendamos muitos mitos desde que começamos com esta série. Além disso, também discutimos sobre o crescimento do malware no mundo dos dispositivos móveis. Desde então, temos comprovado que a popularidade de uma ideia não a torna verídica, pelo menos desde um ponto de vista técnico. Agora nos focaremos em discutir sobre a forma em que os usuários percebem o processo de atualizações do sistema operacional.

Os processos de recepção e instalação de atualizações são extremamente importantes para resolver falhas de segurança que podem existir nos componentes do sistema. No entanto, o que ocorre quando essas atualizações não podem ser entregues a tempo aos usuários? Você sabe quais patches de segurança está recebendo em seu celular?

Dividir e conquistar: fragmentação no Android

O fenômeno conhecido como “fragmentação” se refere ao fato de que nem todos os dispositivos que funcionam com o Android utilizam a última versão disponível. Mais frequentemente do que gostaríamos, as atualizações são retidas pelos fabricantes dos dispositivos para evitar problemas de compatibilidade, o que impede que as correções de segurança possam chegar aos usuários a tempo, inclusive podendo incorporar novas falhas de segurança, caso sejam realizadas modificações no SE Android (Security Enhancements para Android). Em outros casos, são lançados no mercado novos modelos de smartphones com versões anteriores da plataforma.

Mensalmente, o Google atualiza os percentuais de distribuição das versões da plataforma, de acordo com os dispositivos que acessam à Play Store, durante um período de sete dias. Até o dia 02 de novembro deste ano, a versão 4.4 (KitKat) tinha alcançado 37,8% dos quase um milhões de dispositivos com Android. Já a versão 4.1 (Jelly Bean) com 11,0%, a versão 4.2 com 13,9%, e a 4.3 com 4,1% da distribuição.

Se contrastamos estas estadísticas com os números publicados pelo Google em Julho de 2015, podemos notar uma forte diminuição do percentual de equipamentos que utiliza versões do Jelly Bean e um aumento na proporção de usuários da KitKat. No entanto, por mais alarmante que isso pareça, esses dados nos indicam que aproximadamente a metade dos dispositivos atualmente em uso não funcionam com a última versão do Android.

Nem tão obscuro como dizem, nem tão claro como se gostaria

Para mitigar esta problemática, o Google fornece frequentemente aos seus usuários atualizações parciais por meio de um componente conhecido como Google Play Services (GPS), que trazem um grande número de melhorias de segurança. O GPS se encontra disponível por meio do Android 2.3 em diante e sua principal vantagem é que permite fazer chegar atualizações diretamente aos usuários, eliminando aos OEM como intermediários.

A partir da versão 4.4, o GPS se encarrega de realizar as atualizações OTA, substituindo Google Services Framework (GSF) nesta tarefa. Você sabe qual versão do GPS tem instalada? É possível buscá-la com o nome “Serviços do Google Play” por meio das Configurações do dispositivo entre a lista de aplicativos. Você verá o número da versão dentro dos detalhes do app.

No entanto, o problema com esse modelo é que as vulnerabilidades que afetam o núcleo do sistema continuam sem poder ser executadas por meio desse mecanismo. Então, ainda continuará recebendo atualizações de segurança por meio do GPS, algumas vulnerabilidades como StageFright, que requerem a instalação de uma versão mais recente do sistema.

Como vemos, ao falar de fragmentação no Android devemos considerar à filosofia Jedi de evitar os absolutos: sim, a fragmentação é um grande problema, mas ainda assim você receberá muitas atualizações em seu celular.

O que os usuários devem reclamar para o Google, no futuro, é uma melhor comunicação sobre quais vulnerabilidades são patcheadas, utilizando GPS e a criação de um sistema que permite da mesma maneira desenvolver atualizações críticas sem a dependência dos fabricantes e empresas de telecomunicações.

Imagem: “Promote, Speaker, Megaphone, Hold” de Joe The Goat Farmer, usada sob CC BY / Editada pela ESET.

Discussão