45% dos aparelhos Android rodam navegador vulnerável

Quase metade dos aparelhos Android possui um navegador que está vulnerável a dois problemas sérios de segurança, de acordo com dados recentes da empresa de segurança Lookout, que destaca que alguns países possui uma taxa de usuários afetados consideravelmente maior.

Os dois bugs de segurança em questão foram descobertos no mês passado por um pesquisador de segurança chamado Rafay Baloch e foram descritas como um “desastre de privacidade” por outros especialistas. Essas falhas permitem passar por uma barreira essencial de segurança, chamada SOP (same-origin policy), que existe em todos os browsers.

A SOP evita que scripts de um domínio interajam com dados de um domínio diferente. Por exemplo, os scripts rodando em uma página hospedada no domínio A não deveriam poder interagir com o conteúdo carregado na mesma página que vem do domínio B.

Sem essa restrição, hackers podem criar páginas que carregam Facebook, Gmail ou outros sites com informações sensíveis em um iframe invisível e então enganar os usuários para visitar essas páginas para sequestrar suas sessões e ler seus e-mails ou ler mensagens no Facebook, por exemplo.

Versões afetadas

As vulnerabilidades para burlar a SOP descobertas por Baloch afetam as versões do Android anteriores a 4.4, que, segundo dados do Google, estão instalados em 75% de todos os aparelhos com o sistema que visitam a Google Play Store de forma ativa. O Android 4.4, por sua vez, não está vulnerável uma vez que usa o Google Chrome browser padrão, em vez do antigo navegador Android Open Source Project (AOSP).

Patches

O Google liberou patches de segurança para as duas vulnerabilidades por meio do AOSP, que serve como a base para o firmware customizado do Android instalado nos aparelhos por fabricantes. A tarefa agora cai nos fabricantes de aparelhos, que precisam importar esses patches e liberá-los como updates de firmware para os usuários finais.

No entanto, a história já mostrou que a disponibilidade dos updates de firmware do Android varia muito entre as diferentes empresas e aparelhos e mesmo entre países, uma vez que operadoras locais ocupam um papel importante na distribuição de atualizações over-the-air.

Isso se reflete nos dados sobre essas duas vulnerabilidades que foram coletados pela Lookout a partir dos usuários dos seus produtos mobile de segurança. No geral, “aproximadamente 45% dos usuários Lookout possuem uma versão vulnerável do navegador AOSP instalada”. 

“Nós acreditamos que a nossa base de usuários oferece uma boa visão sobre como os usuários Android, de forma geral, estão sendo afetados por vulnerabilidades como essas”, afirmam os funcionários da Lookout, Jeremy Linden e Meghan Kelly, em um post sobre o assunto.