10Aug
Aqui está um segredo sujo: a maioria dos dispositivos Android nunca recebem atualizações de segurança. Noventa e cinco por cento dos dispositivos Android agora podem ser comprometidos através de uma mensagem MMS, e esse é apenas o bug mais alto. O Google não tem como aplicar patches de segurança a esses dispositivos, e fabricantes e operadoras simplesmente não se importam.
O ecossistema Android está se tornando uma floresta de arrasos tóxicos de dispositivos não empacotados criados em buracos de segurança. Para comparação, quando o iOS da Apple possui um furo de segurança, a Apple pode apenas atualizar todos os iPhones compatíveis com uma nova versão. Mesmo os telefones do Windows são melhores do que o Android aqui.
Os telefones Android não são garantidos para obter atualizações de segurança
O recente erro do Stagefright MMS nos dá um bom estudo de caso, demonstrando o que acontece quando alguém descobre um buraco de segurança no Android. O Google cria patches e os aplica ao código principal do projeto de código aberto do Android. O Google envia esses patches para fabricantes de hardware - Samsung, HTC, Sony, LG, Motorola, Lenovo e outros. O envolvimento do Google acaba aqui. Eles não podem forçar os fabricantes a liberar esses patches. Isso geralmente parece ser o fim do processo.
Se um fabricante deseja aplicar esses patches, eles devem aplicá-los ao código Android de um dispositivo e criar uma nova versão do Android para esse dispositivo. Este é um processo separado para cada telefone e tablet que o fabricante suporte. Cada fabricante, então, tem que entrar em contato com a operadora que vendeu os telefones e fornecer cada patch individual específico para cada operadora em todo o mundo. O envolvimento do fabricante acaba aqui. Mesmo que eles se tornem loucos e corrigem todos os dispositivos que eles ainda estão apoiando - muito improvável - eles não podem forçar os operadores a realmente aplicar esses patches
Carriers podem optar por enviar a nova e remendada compilação do Android para seus dispositivos ou não. Se o fizerem, há uma boa chance depois de um extenso período de teste, onde os furos de segurança continuarão a ficar. Mesmo que uma operadora queira fazer isso, há uma boa chance de que eles apenas desejam testar a atualização em alguns telefones principais e não em dispositivos mais antigos.
Na prática, a maioria dos dispositivos Android simplesmente não recebe atualizações de segurança e são deixadas vulneráveis. O Google não escolheu fazer cumprir a entrega de atualizações de segurança, como eles aplicam outras coisas em contratos com fabricantes. Os fabricantes criam muitos, muitos dispositivos diferentes e não querem fazer o trabalho de atualizá-los todos. As operadoras enviam muitos, muitos dispositivos diferentes e não querem se preocupar em testá-los. Em vez de entregar atualizações e manter telefones antigos, eles preferem empurrar os clientes para comprar novos dispositivos. Esses buracos de segurança foram corrigidos nas versões mais recentes do Android, então um novo dispositivo será seguro - pelo menos até encontrar mais buracos e não corrigidos.
Sim, esse recurso de "verificar atualizações" no seu dispositivo Android apenas verifica se há atualizações aprovadas pelo fabricante e pela operadora. Não é uma maneira confiável de garantir que você tenha atualizações de segurança. Os iPhones
são garantidos Atualizações de segurança atempada
O modelo de atualização do Android está horrivelmente quebrado. Não se trata apenas de receber os recursos mais recentes e melhores. Em vez disso, não há como garantir que você tenha os patches de segurança atuais. Realmente não há como saber exatamente quais furos de segurança foram corrigidos em seu dispositivo, pois você depende do fabricante adicionando o patch à sua compilação personalizada do Android e rolando para o seu dispositivo.
O Google tentou evitar isso com o Google Play Services, que atualiza automaticamente em todos os dispositivos Android. Mas isso só pode fazer tanto. Todos os dispositivos Android com Android 4.4.4 e anteriores - ou seja, a maioria dos dispositivos Android - atualmente possuem um navegador da Web cheio de furos de segurança porque o Google não pode atualizá-lo. E agora, quase todos os dispositivos Android agora podem ser comprometidos com um MMS.
Realmente, isso é terrível. Imagine se os computadores portáteis do Windows nunca receberam atualizações de segurança da Microsoft. Em vez disso, a Microsoft emitiria patches para a Dell, Lenovo, HP e outros fabricantes. O fabricante pode optar por corrigi-lo ou não, e se eles optarem por corrigi-lo, esse patch teria que ser aprovado pela loja em que você comprou o laptop antes de alcançá-lo. A Microsoft seria corretamente estacionada sobre as brasas para isso. Em vez disso, a Microsoft lança um patch e é fornecido aos usuários de todos os modelos de PCs Windows via Windows Update. Mesmo o próprio sistema operacional Chrome do Google funciona dessa maneira, sem que os fabricantes adquiram o caminho.
Quer uma garantia real de atualizações de segurança para o seu smartphone? Você praticamente tem que comprar um iPhone, embora mesmo os telefones Windows da Microsoft estejam à frente do Android aqui. Quando um buraco de segurança é descoberto em um iPhone, a Apple pode liberar um patch para todos os usuários do iPhone de uma só vez - mesmo as operadoras não conseguem o caminho.
Permissões e controles de privacidade são melhores no iOS, as permissões de aplicativos
são outro caso em que os iPhones usam telefones Android. O Android começou forte, oferecendo "permissões de aplicativos" - você pode ver o que um aplicativo precisa antes de instalá-lo e optar por não instalá-lo. Os iPhones agora têm um sistema de permissão melhorado, onde você pode realmente escolher e escolher os dados a que um aplicativo obtém acesso. Precisa usar um aplicativo, mas não quer dar acesso aos seus contatos ou outros dados confidenciais? Você pode fazer isso no iOS.
No Android, as permissões do aplicativo são mais como demandas - pegue ou deixe-o. Os aplicativos muitas vezes pedem muitas outras permissões do que realmente precisam funcionar, e você nunca sabe se o jogo que você instalou está subindo sua lista de contatos para um servidor remoto. O Google está trabalhando na adição de um controle de permissão para futuras versões do Android, mas isso é muito pouco, muito tarde. Tais funções estão atualmente disponíveis apenas em ROMs personalizadas de terceiros depois que o Google removeu o gerenciador de permissões ocultas do Android. Os iPhones
realmente lhe dão controle sobre quais aplicativos podem fazer no seu telefone, expondo as permissões do aplicativo como controles de privacidade úteis que qualquer um pode entender. Isso ajuda a manter seus dados privados seguros. No Android, é realmente apenas até o aplicativo - você só pode controlar se você usa esse aplicativo ou não.
A loja de aplicativos bloqueada da Apple passou ao mar na proibição de tipos específicos de conteúdo, mas somente permitir aplicativos de uma fonte aprovada fornece alguma segurança adicional contra o malware. A maioria dos malwares no Android vem do Google Play, muitas vezes quando um usuário baixa um aplicativo pirateado e o instala. Isso não é possível sem fazer o jailbreak de um iPhone. O processo de aprovação da loja de aplicativos iOS também é um pouco mais rigoroso, envolvendo uma pessoa que realmente testa o aplicativo em vez de um algoritmo automatizado.
O Google precisa corrigir esta situação.É inaceitável que a maioria dos dispositivos Android nunca receba atualizações de segurança e seja deixado vulnerável a um número incontável de furos de segurança. Muitos dispositivos ainda bloquearam carregadores de inicialização, o que impedirá que você corrija o erro por si mesmo instalando uma ROM personalizada.
Sim, o Android é uma plataforma aberta com muitos fabricantes envolvidos, mas também o Windows. O Google precisa colocar sua plataforma em ordem. Continuaremos a ver crescentes surtos de segurança na terra do Android até que todo o ecossistema do Android comece a cuidar da segurança e se torne capaz de corrigir problemas de segurança de forma atempada e consistente, como qualquer outro sistema operacional moderno.
Crédito de Imagem: Indi Samarajiva no Flickr