Nós usamos cookies em nossos sites. Informações sobre cookies e sobre como você pode se opor ao uso de cookies a qualquer momento, ou encerrar seu uso, podem ser encontradas em Política de Privacidade.

10 min para ler 24 Comentários

Atualização de segurança de fevereiro corrige 42 vulnerabilidades

Nem todo mundo sabe, mas mesmo que o seu smartphone não seja atualizado para a versão mais nova do Android, ele pode continuar recebendo as atualizações de segurança. Esses são updates mensais lançados pelo Google que aumentam a segurança de qualquer aparelho, seja ele um lançamento ou mais antigo. Vamos falar deles hoje.

Aqui reuniremos o que mudou nos últimos relatórios de segurança emitidos pelo Google. Esses relatórios traduzem o que foi modificado e enviado nos updates que o seu aparelho recebe.

Atualização de segurança de fevereiro

Atualizado por Stella Dauer [8/2 às 16h]

Liberada a partir de 4 de fevereiro: no patch de segurança liberado pelo Google desse mês, chegam correções para 42 problemas e vulnerabilidades do sistema. Essas falhas alcançam as versões: 7.0, 7.1.1, 7.1.2, 8.0, 8.1 e 9 do Android, com gravidade de moderada a crítica.

Como sempre, são corrigidas falhas que tampam buracos que poderiam ter sido aproveitados por malwares e invasores, e além de correções do Google, há também as feitas pela Qualcomm, que não libera tudo o que corrige. O mais grave desses problemas é uma vulnerabilidade de segurança crítica no Framework que pode permitir que um invasor remoto usando um arquivo PNG especialmente criado execute código arbitrário dentro do contexto de um processo privilegiado.

AndroidPIT encrypted secure security lock locked locks
Atualizações de segurança são muito importantes para o Android / © LuckyStep/Shutterstock - Montagem: AndroidPIT

E se os últimos dois updates de segurança trouxeram ajustes e consertos para os Pixel, nesse mês nada foi acrescentado. A opção "Sobre o dispositivo" agora está na raiz das Configurações, e a atualização pausa se você estiver usando o aparelho.

A Samsung informou em seu site que corrigiu 12 vulnerabilidades, entre eles uso incorreto de memória e vazamento de palavras aprendidas no S-Voice com a tela bloqueada. Já a LG informou que liberou patches para os modelos G6, G7, V30, V35, V40, Q6, Q8, CV1, CV3, CV5A, CV7A, LV7, LV9 e SF3, corrigindo dois problemas de gravidade alta e moderada e deixando claro que não há mais updates para o G5. Nokia e Motorola não divulgaram informações referentes a fevereiro.


Atualização de segurança de fevereiro 

Liberada a partir de 7 de janeiro: no patch de segurança liberado pelo Google no primeiro dia do mês, chegam correções para 27 problemas e vulnerabilidades do sistema, um número considerado baixo. Essas falhas alcançam as versões: 7.0, 7.1.1, 7.1.2, 8.0, 8.1 e 9 do Android. A gravidade dos problemas vai de alta a crítica.

Essa atualização também oficializa a morte da linha Nexus, cujos últimos representantes, Nexus 5X e Nexus 6P, deixam de receber updates. É o fim de uma era. Entretanto, o menos famoso Pixel C recebeu seu update, mesmo estando no Android Oreo. Para os outros Pixels, o update traz a solução do problema do botão "Verificar atualizações", que agora funciona normalmente, e também melhora a qualidade do áudio nas gravações de vídeo nos Pixel 3 e 3 XL.

AndroidPIT Nexus 6P cracked glass visor 1
Adeus, Nexus / © AndroidPIT (captura de tela)

Como sempre, são corrigidas falhas que tampam buracos que poderiam ter sido aproveitados por malwares e invasores, e além de correções do Google, há também as feitas pela Qualcomm e pela NVIDIA. O mais grave desses problemas é uma vulnerabilidade de segurança crítica no sistema que pode permitir que um invasor remoto use um arquivo especialmente criado para executar código arbitrário dentro do contexto de um processo privilegiado.

A Samsung informou em seu site que corrigiu 4 vulnerabilidades, enquanto a LG informou que liberou patches para os modelos G6, G7, V30, V35, V40, Q6, Q8, CV1, CV3, CV5A, CV7A, LV7, LV9 e SF3, corrigindo dois problemas de gravidade alta, sendo um deles uma vulnerabilidade no GPS quando usada a discagem de emergência.


Atualização de segurança de dezembro 

Liberada a partir de 3 de dezembro: chegou dezembro e há novidades além das correções de segurança. Para os Pixels, o cronograma se estabilizou e todos os aparelhos da linha já foram atualizados.

Para os Pixels 3 e 3 XL, o update de segurança chega junto com correções de estabilidade para o aparelho, melhorando o gerenciamento de RAM e trazendo melhorias para a câmera, além de compatibilidades com novos softwares. Muitos desses updates chegaram também para os Pixel 2 e 2 XL.

É importante frisar que essa foi a última correção de segurança enviada à linha Nexus, abrangendo os modelos Nexus 5X e Nexus 6P. De agora em diante, apenas a linha Pixel será atualizada pelo Google, seguindo a promessa de três anos de updates de segurança.

As 54 falhas corrigidas atingem as versões 7.0, 7.1.1, 7.1.2, 8.0, 8.1 e 9 do Android (note que saíram correções para a versão 6 e entraram para a 9). A gravidade dos problemas vai de alta a crítica, embora o Google não tenha recebido registros de problemas atingindo usuários.

O mais grave desses problemas é uma vulnerabilidade de segurança crítica na estrutura de mídia que pode permitir que um invasor remoto use um arquivo especialmente criado para executar código arbitrário dentro do contexto de um processo privilegiado. 

Pixel 3 XL 06
Atualização para Pixels 3 e 3 XL corrige problemas de RAM / © AndroidPIT

Mas há também correções no bootloader, multimídia automotiva, rede, Linus e outros. A Samsung trouxe a correção de 40 itens, além dos providos pelo Google, que trataram de problemas na Pasta de Segurança, Quick Tools, Dual Messenger, Clipboard, entre outros.

A LG informou que corrigiu 3 falhas além das providas pelo Google, para os modelos G5, G6, V10, V20, V30, Q6, Q8, X300, X400, X500 e X cam.. Nokia e Motorola não divulgaram informações específicas para seus aparelhos.


Atualização de segurança de novembro 

Liberada a partir de 5 de novembro: em novembro foram corrigidos 36 problemas. Essas falhas estavam com as versões 7.0, 7.1.1, 7.1.2, 8.0, 8.1 e 9 do Android (note que saíram correções para a versão 6 e entraram para a 9). A gravidade dos problemas vai de moderada a crítica.

É importante frisar que essa foi provavelmente a última correção de segurança enviada à linha Nexus, abrangendo os modelos Nexus 5X e Nexus 6P. De agora em diante, apenas a linha Pixel será atualizada pelo Google, seguindo a promessa de três anos de updates de segurança.

O problema mais grave corrigido nesse mês poderia permitir que um invasor próximo usasse um arquivo especialmente criado para executar código arbitrário no contexto de um processo privilegiado. Outras falhas permitiam que um aplicativo malicioso local execute código arbitrário dentro do contexto de um processo privilegiado, ou que um invasor remoto use um arquivo especialmente criado para executar código arbitrário no contexto de um processo privilegiado, ou que um atacante remoto acesse dados normalmente acessíveis apenas a aplicativos instalados localmente com permissões.

Entre outros problemas corrigidos em novembro, estão componentes como Bootloader, EcoSystem, DSP_Services e em componentes da Qualcomm.

A Samsung informou em seu site que corrigiu 8 vulnerabilidades (além das cabíveis pelo Google), entre eles uso malicioso do discador de emergência e do assistente de voz e problemas nas notificações e memória. Problemas de segurança com o DeX também foram resolvidos. Já a LG informou que liberou patches para os modelos G5, G6, V10, V20, V30, Q6, Q8, X300, X400, X500 e X cam, corrigindo os problemas enviados pelo Google e também um problema relacionado ao Knock code. Nokia e Motorola não divulgaram informações específicas para seus aparelhos.


O que são atualizações de segurança do Android

Essas atualizações correm em outro setor do Google, dedicado exclusivamente a segurança do sistema operacional móvel. Todos os dias engenheiros do Google e colaboradores pelo mundo todo identificam novas vulnerabilidades do sistema. Algumas vezes, essas brechas são descobertas por pessoas mal intencionadas também.

Por isso, as atualizações de segurança do Android não podem ser liberadas na mesma velocidade que as novas versões do sistema, ou muitos smartphones ficariam expostos a problemas por muito tempo. Assim, a cadência desses updates é mensal. Updates de segurança são independentes das atualizações e sabores do Android.

Como funcionam as atualizações de segurança do Android

Como falei, engenheiros e pessoas comuns identificam vulnerabilidade da segurança no sistema. Como segurança é um assunto sério, a área especial do Google para isso já começa a trabalhar, quase que imediatamente, e atualizações para o Android.

Assim que prontas elas já entram em testes, descobrindo assim se com esse update a vulnerabilidade é neutralizada e se ele não prejudica ou quebra alguma outra parte do sistema. Assim que está pronto, o Google avisa os parceiros (desenvolvedores e fabricantes) sobre a atualização.

Em boletins, eles descrevem o problema solucionado e a atualização em si, e as fabricantes já podem iniciar os testes em sua linha de aparelhos que está apta a receber o update. Não há como atualizar todos os aparelhos existentes, pois alguns não recebem mais suporte da fabricante e outros não aceitam mais o tipo de atualização feita.

Captura de Tela 2018 08 21 as 18.29.33
Atualizações de segurança pelo Google / © AndroidPIT (captura de tela)

Quando fabricantes e desenvolvedores finalizam os testes, as atualizações de segurança começam a ser enviadas aos aparelhos e clientes, e o Google disponibiliza o mesmo arquivo para os aparelhos Nexus e Pixel. Esses updates costumam chegar via OTA, ou seja, via Wi-Fi ou dados. 

Por fim, o Google divulga publicamente os dados da atualização daquele mês e disponibiliza o arquivo para o Android Open Source Project, onde desenvolvedores independentes (como os que produzem ROMs) podem acessar tudo.

É preciso lembrar que a fabricante libera o update com apenas as correções necessárias para o seu dispositivo, incluindo também as que ela própria identificou e corrigiu entre seus desenvolvedores.

Você já percebeu que o grande fator para que um update de segurança chegue até você é a boa vontade das fabricantes. Se eles não fizerem o esforço de oferecer as atualizações aos usuários, seus smartphones permanecerão vulneráveis. Poucos fabricantes distribuem as atualizações para seus dispositivos todos os meses. Alguns esperam vários meses para isso.

Como consultar a atualização de segurança do seu Android

Geralmente, essa informação fica nas configurações do seu smartphone, próximos à área de updates, mas mostraremos onde acessar essa informação nos aparelhos de alguns fabricantes:

  • Motorola: Vá em Configurações > Sistema > Atualizações do sistema
Capturas de tela
Atualização de segurança do Motorola Moto Z3 Play / © AndroidPIT (captura de tela)
  • Samsung: vá em Config. > Sobre o telefone > Informações do Software

Screenshot 20180821 182654 Settings
Atualização de segurança do Samsung Galaxy S8+ / © AndroidPIT (captura de tela)
  • Sony: vá em Configurar > Sistema > Sobre
Screenshot 20180821 182426
Atualização de segurança do Sony Xperia XZ2 Compact / © AndroidPIT (captura de tela)
  • Asus: vá em Configurar > Sistema > Sobre
Screenshot 20180821 182329
Atualização de segurança do ASUS Zenofne 5 / © AndroidPIT (captura de tela)
  • LG: vá em Ajustes > Geral > Sobre o telefone > Informações sobre o software
  • Pixel: vá em Configurações > Sistema > Sobre o dispositivo > Versão do Android
Screenshot 21 de ago de 2018 18 22 20
Atualização de segurança do Google Pixel 2 / © AndroidPIT (captura de tela)

Porque seu smartphone não está em dia com as atualizações?

Há uma série de motivos pelos quais o seu aparelho não está com a mais recente atualização de segurança. Listamos aqui alguns fatores:

  • Você não programou a atualização automática. Basta procurar por updates e ele será feito;
  • Esgotou-se o tempo de updates previsto pela fabricante ou pela operadora para o seu dispositivo (geralmente, as fabricantes prometem updates por até um ano a mais do que o limite definido para atualizações do sistema pelo Google, que geralmente é de 18 meses);
  • Seu Google Play Services não está atualizado;
  • Seu smartphone é falso;
  • A fabricante ignorou a promessa que fez e simplesmente não quis mais atualizar seu aparelho. Ele pode ter vendido pouco, saído de linha ou não ser uma prioridade para a empresa (pois é, acontece).

Como ajudar com as atualizações de segurança

A melhor coisa que você pode fazer para ajudar o Google a manter seu smartphone mais seguro é cobrar as fabricantes de manter em dia a atualização do seu aparelho, e evitar comprar aqueles que estão muito defasados em updates. No AndroidPIT temos mostrado em qual ponto está o aparelho quando da data do review.

Outro item que ajuda é permitir que o Google e a fabricante coletem dados anônimos do seu smartphone. Você geralmente escolhe isso quando está configurando um novo aparelho. Também pode, ao se deparar com um app que fechou, escolher enviar um relatório dos bugs para o Google

Seu aparelho recebe updates de segurança?

 

24 Comentários

Escreva um comentário:
Todas as mudanças foram salvas. Não há rascunhos salvos no seu aparelho.
Mostrar todos os comentários