.
O que você precisa saber
- O Google corrigiu um sério problema de segurança para dispositivos Pixel com o lançamento do Pixel Feature Drop de junho na semana passada.
- Embora a falha afete mais dispositivos Android, os dispositivos não Pixel terão que esperar pelo Android 15.
- Esta decisão deixa os dispositivos Android vulneráveis a uma falha explorada ativamente durante meses.
Na semana passada, o Google finalmente corrigiu uma falha crítica de segurança sobre a qual pesquisadores e defensores da segurança vêm aumentando a conscientização desde abril. O problema? O Google incluiu a correção no Pixel Feature Drop de junho, e outros telefones Android não podem receber a atualização. BleepingComputer relatou o patch pela primeira vez, e a equipe da GrapheneOS – que primeiro relatou a vulnerabilidade – confirmou que os dispositivos não Pixel precisarão esperar pelo Android 15 para obter uma correção.
O Google corrigiu 50 vulnerabilidades de segurança na atualização QPR3 do Android 14 para Pixels. No entanto, uma delas se destaca por ser uma vulnerabilidade de dia zero. Isso significa que a falha foi explorada ativamente antes que o Google tomasse conhecimento dela. As vulnerabilidades de segurança de dia zero são as mais graves e, portanto, o Google recomenda que todos os usuários do Pixel apliquem a atualização de junho o mais rápido possível.
Foi corrigido em Pixels com a atualização de junho (Android 14 QPR3) e será corrigido em outros dispositivos Android quando eles eventualmente atualizarem para o Android 15. Se eles não atualizarem para o Android 15, provavelmente não obterão a correção, pois é não foi portado. Nem todos os patches são portados.13 de junho de 2024
A empresa compartilhou essas informações no Pixel Update Bulletin, onde o Google fornece atualizações sobre problemas de segurança que afetam dispositivos Pixel ou Android. “Há indicações de que CVE-2024-32896 pode estar sob exploração limitada e direcionada”, explica a empresa. De acordo com o GrapheneOS, o CVE-2024-32896 explorado ativamente refere-se à mesma exploração que foi relatada anteriormente como CVE-2024-29748. O novo identificador representa a correção exclusiva do Pixel incluída na atualização de junho.
O problema é um problema de elevação de privilégio (EoP) com firmware Android que o Google chama de “alta gravidade” para Pixels.
“Ele foi explorado por empresas forenses contra usuários de aplicativos como Wasted e Sentry que tentavam limpar o dispositivo ao detectar um ataque”, explicou a equipe do GrapheneOS. “Nós abordamos isso como parte da criação de nosso recurso de PIN/senha de coação e relatamos isso para que o Google corrigisse o problema no Android, o que agora está feito.”
Os desenvolvedores acrescentam que dois problemas principais estão tornando a exploração possível. A primeira é que a memória do sistema não é apagada ao entrar no modo de inicialização rápida, o que significa que é possível que uma exploração acesse a memória mais antiga do sistema. Um problema separado, mas relacionado, gira em torno da API de administração do dispositivo Android Open Source Project, que precisa ser reinicializada para recuperação para ser apagada – embora isso tenha sido corrigido no Android 14 QPR3.
O primeiro problema foi corrigido anteriormente em Pixels, e o segundo foi corrigido no Pixel Feature Drop de junho. No entanto, como mencionamos, os telefones e tablets Pixel são os únicos que recebem a correção. Isso se deve à maneira como os OEMs do Android lançam atualizações e correções de software, e isso não é inteiramente culpa do Google.
Por que outros telefones Android não estão sendo corrigidos
Considerando que esse problema foi explorado ativamente e tem alta gravidade, você provavelmente está se perguntando por que outros dispositivos Android não estão sendo corrigidos. Afinal, o Google está aconselhando os usuários do Pixel a atualizarem seus dispositivos o mais rápido possível para se protegerem. A verdade é que o Google fez a sua parte e cabe aos outros OEMs implementar uma correção. A empresa incluiu o patch no Android 14 QPR3, e qualquer dispositivo que receber a atualização do Android 14 QPR3 irá recebê-lo.
Correções como essa são frequentemente adicionadas ao Android Open Source Project, ou AOSP, que serve de base para outras versões do Android. Um sistema operacional como o One UI da Samsung ou o OxygenOS do OnePlus usa AOSP como base. O problema é que os sistemas operacionais de terceiros geralmente aplicam atualizações do AOSP anualmente. Portanto, a Samsung provavelmente usará a versão AOSP do Android 15 como base para o One UI 7. No entanto, uma versão futura do Android 15 QPR2 ou Android 15 QPR3 não afetaria os dispositivos Samsung Galaxy até o One UI 8.
Em outras palavras, o motivo pelo qual os dispositivos Google Pixel são os únicos a receber esse patch é porque são os únicos a receber atualizações mensais, trimestrais e anuais. Teoricamente, uma empresa poderia pegar a correção incluída no Android 14 QPR3 e aplicá-la em seus telefones. No entanto, como outros OEMs não fazem atualizações trimestrais, os patches de segurança incluídos no Android 14 QPR3 não chegarão aos seus dispositivos até o Android 15.
Alguns patches de segurança são propagados para versões mais antigas do Android por meio de um processo chamado backporting. No entanto, isso não acontece em todos os patches. O Google provavelmente deveria ter feito backport da correção para essa falha de segurança, tendo em mente a gravidade e seu status de dia zero. No entanto, não é necessariamente responsabilidade do Google fazê-lo. Além disso, apenas metade dos problemas de segurança estão relacionados ao AOSP. Ninguém pode resolver o primeiro problema descrito acima, exceto cada fabricante.
Este é o exemplo mais recente de como escolher um telefone Android de uma marca diferente do Google pode colocar o usuário em risco de segurança. Outras marcas são muito lentas para responder a falhas críticas de dia zero com patches, e isso é um problema real. Às vezes, a culpa é do Google e de outros, dos OEMs parceiros, e muitas vezes é uma mistura de ambos. De qualquer forma, os usuários sofrem.
.
