Lembra do Project Zero? Aquele onde o Google dedicaria tempo e recursos para investigar falhas de segurança? Pois é… ele detectou várias vulnerabilidades que afetam o sistema operacional Android nos smartphones que usam GPUs Mali, muito adotados por diversos fabricantes de telefones.
A situação é tão séria, que o Project Zero nem esperou muito tempo para revelar a raiz do problema. Considerando a enorme quantidade de fabricantes que utilizam esse tipo de GPU em diferentes dispositivos que hoje estão no mercado, é possível imaginar o tamanho do estrago que isso pode gerar em um grande número de usuários.
Neste artigo, vou detalhar como esse problema pode afetar o seu smartphone (e o meu também, o que é péssimo).
O ápice da negligência generalizada
Os aceleradores gráficos Mali são criados pela ARM Holdings, que também é responsável pela arquitetura dos processadores ARM. E essa empresa até corrigiu as vulnerabilidades detectadas entre os meses de julho e agosto. Porém, adivinha quem deixou de fazer a sua parte neste processo?
Isso mesmo, amigo leitor: o fabricante do seu querido smartphone Android.
Samsung, Xiaomi, Oppo e até o Google (isso mesmo que você está lendo: a denúncia do Project Zero veio de dentro da própria empresa que está envolvida no problema de alguma forma) não corrigiram as vulnerabilidades. E tempo para tomar providências sobre o assunto não faltou.
As falhas de segurança foram detectadas pelos especialistas do Project Zero entre junho e julho, que entraram em contato de forma direta com a ARM, que era quem tinha que resolver tudo em um primeiro momento. As falhas eram bem sérias, e a empresa precisava tomar providências imediatas para corrigir tudo.
Os efeitos práticos das vulnerabilidades poderiam permitir que um atacante pudesse ler e escrever informações depois que os conteúdos fossem devolvidos ao sistema, além de forçar o acesso ao kernel para que um eventual atacante possa inclusive ter acesso completo ao sistema operacional, saltando os mecanismos de permissão do Android e obtendo um amplo acesso aos dados do usuário.
De novo: a ARM fez a sua parte, e os fabricantes de smartphones Android deram de ombros para as falhas detectadas.
Três meses de espera por providências, e nada
Depois de três meses que a ARM notificou os especialistas do Project Zero sobre a solução das falhas de segurança detectadas, todos os dispositivos de testes utilizados para identificar os problemas seguiam vulneráveis.
Isso significa que os fabricantes de smartphones Android não tomaram as devidas providências sobre o assunto. A evidência disso é que nenhum boletim de segurança mencionou os problemas nos boletins de segurança posteriores, de modo que os dispositivos de diferentes marcas continuam expostos.
Até o momento, Samsung, Google, OPPO, Xiaomi e (muito provavelmente) muitos outros fabricantes de smartphones Android não publicaram as atualizações de segurança correspondentes à correção dessas vulnerabilidades que exploram as GPUs Mali.
E aqui, nos deparamos com o cenário de sempre, onde o suporte às questões de segurança dos telefones Android é muito mal feito por conta dos fabricantes, com correções de segurança que chegam com um atraso enorme, e tempos de suporte que, em alguns casos específicos, são uma autêntica piada.
É esse tipo de comportamento que me leva a crer que os fabricantes de smartphones ainda optam por adotar a velha estratégia da obsolescência programada, que tanto prejudica o consumidor ao longo do tempo.