O verdadeiro problema de segurança do Android são os fabricantes

Se você estiver executando um aparelho Google Pixel, seu telefone está protegido contra uma falha de segurança que poderia permitir que um arquivo PNG destruísse completamente o sistema. Se você estiver usando quase qualquer outro aparelho Android, seu telefone está vulnerável. Isto é um problema.

Google recentemente lançou a atualização de segurança de fevereiro para dispositivos Pixel, que fecha uma lacuna que permitiria que arquivos PNG maliciosos “executassem código arbitrário dentro do contexto de um processo privilegiado”. Em termos mais simples, o código pode ser executado em alto nível e roubar suas informações – tudo o que você precisa fazer é abrir o arquivo. É isso.

Isso significa que qualquer PNG que chegar até você – seja por e-mail, um cliente de mensagens ou mesmo por MMS – pode sequestrar o sistema e roubar dados valiosos. Ou seja, em qualquer telefone que não seja Pixel, porque eles estão protegidos agora. Samsung, LG, OnePlus e a maioria dos aparelhos de outros fabricantes ainda são suscetíveis a esse bug. Precisamos começar a exigir dos fabricantes um padrão mais elevado no que diz respeito a atualizações de segurança. Período.

Atualmente, tenho quatro smartphones Android ao alcance do braço: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 e OnePlus 6T. Os dois pixels são corrigidos e protegidos com a atualização de fevereiro, mas o S9 e 6T estão apenas nos patches de segurança de dezembro. Isso significa que qualquer vulnerabilidade mais recente – como esta PNG, por exemplo – não está corrigida em ambos os aparelhos. Considerando que os dispositivos Samsung Galaxy estão entre os telefones mais populares do planeta, isso é preocupante.

Mas não é apenas um problema por causa do problema atual. Este é um problema dinâmico que é uma preocupação constante – ou pelo menos deveria ser. Enquanto houver novas vulnerabilidades, atualizações de segurança atrasadas sempre serão um problema. Então, para colocar em termos mais simples: isso sempre será um problema porque as vulnerabilidades são garantidas.

Embora a “fragmentação” do Android seja um problema (essencialmente, desde que a plataforma foi introduzida) quando se trata de atualizações completas do sistema operacional, isso não deve se aplicar às atualizações de segurança. Não se trata de atualizações do tipo “novos recursos são legais e eu os quero”, mas sim atualizações de proteção de dados cruciais. Independentemente de serem pequenos ou não, isso não deve ser esquecido por nenhum consumidor. Sempre.

Atualmente, os fabricantes estão fazendo um péssimo trabalho de proteger seus usuários, ponto final. Embora não obter atualizações completas do sistema operacional (ou mesmo lançamentos pontuais) seja irritante, não obter atualizações de segurança é inaceitável. Ele envia uma mensagem que não pode ser ignorada: diz que o fabricante do seu telefone não se preocupa com seus dados. Suas informações não são importantes o suficiente para eles protegerem.

As atualizações de segurança não são tão grandes quanto as atualizações completas do sistema operacional ou mesmo as versões pontuais. Eles são lançados mensalmente pelo Google, portanto, são muito menores e mais fáceis de incorporar ao sistema – mesmo para fabricantes terceirizados. Novamente, não há desculpa real para não tornar isso uma prioridade.

No ano passado, o Google tornou necessário que fabricantes oferecem pelo menos dois anos de atualizações de segurança para aparelhos. (Os smartphones Pixel têm garantia de três anos.) Qual é o problema disso? Requer apenas “pelo menos quatro” atualizações em um ano. Isso é trimestral, não mensal – e é exatamente o que a maioria dos fabricantes está fazendo. O mínimo. E não é bom o suficiente.

Porque? Porque novas vulnerabilidades estão expostas o tempo todo. Não quero que meus dados sejam potencialmente comprometidos enquanto espero o fabricante do meu telefone preparar três meses de correções de segurança em uma atualização – quero-as assim que o Google as lançar, e você também deveria.

Esta vulnerabilidade PNG é apenas um exemplo. Mês após mês, esses tipos de problemas são descobertos e, com a maioria dos fabricantes lançando atualizações de segurança meses depois, isso deixa seus dados expostos por muito mais tempo do que o aceitável.

Embora eu desejasse que houvesse uma resposta fácil sobre como consertar isso, infelizmente, não há. Até que os fabricantes comecem a levar suas informações mais a sério, só há uma resposta real: compre um telefone diferente. A Apple e o Google têm provado rotineiramente que se preocupam com os dados dos usuários, portanto, os aparelhos iPhone e Pixel são excelentes opções para usuários que desejam fazer tudo o que puderem para proteger seus dados.

Por mais clichê que pareça (e honestamente estou cansado de ouvir isso): é hora de votar com sua carteira. Não compre telefones de fabricantes que não se importam com seus dados. Essa é a única maneira de saberem que isso é sério.