Recentemente, descobriu-se uma brecha de segurança que permite que um arquivo PNG comprometa totalmente o sistema de um dispositivo móvel. Se você utiliza um Google Pixel, seu aparelho está imune a essa vulnerabilidade, no entanto, a grande maioria dos outros smartphones Android encontram-se vulneráveis. Este é um problema que merece atenção.
O Google lançou recentemente uma atualização de segurança para os dispositivos Pixel, visando solucionar essa falha que permite que arquivos PNG maliciosos executem “código arbitrário” em processos privilegiados. Em outras palavras, um código de alto nível pode ser ativado ao abrir um arquivo PNG, possibilitando o roubo de suas informações pessoais.
Assim, qualquer arquivo PNG recebido por e-mail, mensagens ou MMS pode ser usado para sequestrar o sistema do seu telefone e extrair dados valiosos. Esta vulnerabilidade afeta todos os telefones que não sejam Pixel, pois estes já foram corrigidos. Marcas como Samsung, LG, OnePlus e outros fabricantes ainda estão suscetíveis a este problema. É imperativo que os fabricantes elevem seus padrões no que diz respeito às atualizações de segurança.
Em minha posse, tenho atualmente quatro smartphones Android: um Pixel 2 XL, um Pixel 1, um Samsung Galaxy S9 e um OnePlus 6T. Os dispositivos Pixel já estão protegidos com a atualização de fevereiro, enquanto o S9 e o 6T ainda estão rodando com os patches de segurança de dezembro. Isso significa que vulnerabilidades recentes, como a do arquivo PNG, não estão corrigidas nesses aparelhos. É preocupante que os aparelhos Samsung Galaxy, conhecidos por sua popularidade, estejam expostos a este risco.
O problema não se resume a essa falha específica, mas sim a uma preocupação constante. Enquanto houver novas vulnerabilidades, as atualizações de segurança atrasadas sempre serão uma ameaça. Em resumo, este será sempre um problema, pois vulnerabilidades continuarão a surgir.
A fragmentação do sistema Android, um problema desde o seu lançamento, não deveria se aplicar às atualizações de segurança. Estas não são apenas atualizações de recursos, mas sim proteções de dados essenciais. Independentemente do seu tamanho, nenhum consumidor deveria ignorar essas atualizações.
Atualmente, os fabricantes estão falhando em proteger seus usuários. A falta de atualizações do sistema operacional já é frustrante, mas a ausência de atualizações de segurança é inaceitável. Essa negligência transmite uma mensagem clara: o fabricante do seu celular não se preocupa com a segurança de seus dados, que, na visão deles, não são importantes o suficiente para serem protegidos.
As atualizações de segurança são menores e mais fáceis de incorporar do que as atualizações completas do sistema. O Google as libera mensalmente, tornando mais fácil sua implementação pelos fabricantes. Não há justificativa para não priorizar essas atualizações.
No ano passado, o Google obrigou os fabricantes a fornecerem pelo menos dois anos de atualizações de segurança para seus aparelhos (smartphones Pixel têm garantia de três anos). No entanto, isso requer apenas “pelo menos quatro” atualizações por ano, o que significa uma por trimestre. A maioria dos fabricantes está se limitando a esse mínimo, o que é insuficiente.
Novas vulnerabilidades são descobertas frequentemente. Não é aceitável que meus dados fiquem expostos por meses enquanto aguardo a liberação de uma atualização trimestral. As correções devem ser implementadas assim que o Google as lança.
A vulnerabilidade PNG é apenas um exemplo. Constantemente novas falhas são descobertas e, com as atualizações de segurança chegando com meses de atraso, seus dados permanecem vulneráveis por um tempo excessivo.
Não há uma solução fácil para este problema. Enquanto os fabricantes não começarem a priorizar a segurança de seus usuários, a única solução viável é trocar de aparelho. A Apple e o Google têm demonstrado preocupação com a segurança de seus usuários, tornando os iPhones e os Pixels ótimas opções para aqueles que desejam proteger seus dados.
É hora de agir com seu dinheiro. Não compre aparelhos de fabricantes que negligenciam a segurança de seus dados. Esta é a única forma de demonstrar a seriedade da situação.