Falha de CPU Spectre afeta Android e iPhones. Como proteger seus dispositivos?

CSO / EUA
08/01/2018 - 16h58
Revelado na última semana, problema já foi corrigido pela Apple, mas muitos usuários do sistema do Google ainda estão vulneráveis ao bug

Revelada na última semana, a falha de CPU Spectre afeta tanto aparelhos iOS, incluindo iPhones e iPads, quanto smartphones e tablets Android – a outra falha de CPU, chamada Meltdown, afeta principalmente computadores

Apesar de ainda não terem sido descobertos exploits para a vulnerabilidade, os pesquisadores de segurança confirmaram que os ataques podem ser realizados por meio de JavaScript – o que significa que visitar o site errado pode infectar o seu aparelho. “Análise dessas técnicas revelou que...elas podem ser potencialmente exploradas em JavaScript rodando em um navegador web”, concluiu a Apple.

No entanto, a notícia não é de todo ruim. A Apple liberou patches de segurança em dezembro e planeja liberar outros nos próximos dias. A não ser que você esteja usando um iPhone muito antigo, instalar os patches de segurança protegerá o seu dispositivo. Os donos de aparelhos mais antigos estão sem sorte, no entanto, e vulneráveis a essas e outras falhas de segurança e devem considerar trocar de aparelho assim que possível.

De forma similar, o Google publicou patches de segurança para os aparelhos com Android puro, o que deixa protegidos os donos dos aparelhos da empresa, Pixel e Nexus. No entanto, a gigante só garante patches para os seus aparelhos por três anos – se o seu aparelho tem mais do que isso, você está sem sorte.

O restante dos usuários Android não possui essa garantia, por outro lado, já que as fabricantes costumam ser lentas para liberar atualizações de segurança. “Sei que o meu iPhone e o meu Nexus 5X receberão esse patch, mas se eu tivesse outro smartphone, não sei se ele seria atualizado”, afirma o pesquisador de segurança da I Am the Cavalry, Beau Woods.

Vale notar que alguns aparelhos Android mais novos, como o Samsung Galaxy S8 e o Note 8, já receberam a atualização. No entanto, é provável que muitos dispositivos Android fiquem vulneráveis.   

Cerca de 1 bilhão de smartphones Android pelo mundo não recebem patches de segurança ou os recebem sem frequência, e esses usuários podem ficar vulneráveis à falha de CPU.

Além dos smartphones do Google e outros modelos mais recentes, como os já citados top de linha Galaxy S8 e Note 8, a questão de segurança para os aparelhos Android é tão ruim que a Spectre é a menor das preocupações dos usuários.

Um bilhão de aparelhos
Esse problema com os patches de segurança no Android não é novidade, obviamente. O mercado incentiva os fabricantes terceirizados de aparelhos Android a “vender e esquecer”. Não há nenhum ganho financeiro para fornecer patches de segurança regulares para os usuários finais, e, sem regulamentação do governo, isso provavelmente não mudará em breve.

E o Google tem pouco poder para influenciar os fabricantes Android a enviarem patches de segurança, uma vez que o sistema é open-source. A principal vantagem que o Google possui sobre os fabricantes terceirizados é o acesso à Play Store, desejo da maioria dos usuários. No entanto, como a Amazon já mostrou com a sua plataforma Kindle baseada em Android, não há nada impedindo as fabricantes de usarem o Android para construir as suas próprias lojas de aplicativos.

As ações do Google nos últimos anos para levar componentes essenciais do Android para a Play Store parecem uma tentativa de conseguir uma influência maior sobre as fabricantes, mas ainda não há nenhum sinal da gigante estar pressionando as empresas de alguma forma para que os usuários recebam os patches de segurança com uma maior regularidade. Isso significam que esses cerca de 1 bilhão de usuários Android não poderão fazer muita coisa quanto à falha Spectre – a não ser que as fabricantes acelerem os processos costumeiros e entreguem as soluções o quanto antes.

Na última semana, tanto Google quanto Apple repetiram o mantra de que os donos de smartphones não devem ficar preocupados. Nenhum exploit foi encontrado ainda, e essas vulnerabilidades “são extremamente difíceis de explorar” (Apple), e “na plataforma Android, a exploração se mostrou muito difícil e limitada na maioria dos aparelhos” (Google).

O problema com os exploits é que uma vez que eles forem resolvidos, podem rodar basicamente em qualquer lugar. Não vai levar muito tempo até que um exploit comece a circular e ameaçar os usuários pela web.

“A atenção em torno desses bugs vai levar a muitos exploits públicos para eles”, segundo o CEO da Trail of Bits, Dan Guido. “Mesmo que um exploit para Android seja ‘difícil’, será feito para provar que é possível. Penso que veremos o Spectre aparecer em muitos lugares inesperados nas próximas semanas e meses.”

Woods, da I Am the Cavalry, concorda com a afirmação. “O tempo entre conceitos de prova e o uso por aí costuma ser bastante curto”, afirma. “É uma tendência geral que habilidades disponíveis para nações adversárias ficam disponíveis para criminosos comuns em uma sequência rápida, mais curta do que o ciclo de vida de muitos dos aparelhos que usamos.”