Samsung, Xiaomi e Asus têm smartphones com falhas de segurança de fábrica

A empresa de segurança Kryptowire divulgou um relatório sobre falhas de segurança em smartphones. Ao todo, ficam identificadas 29 fabricantes de dispositivos Android com 146 vulnerabilidades distribuídas.

A lista inclui nomes de peso como Samsung, Xiaomi e Asus, que atuam globalmente. No geral, a maioria das empresas listadas operam na Ásia. A forma de lidar com as vulnerabilidades também varia de empresa para empresa, já que umas têm mais recursos que outras.

Vale dizer que todas as 29 da lista foram notificadas sobre a descoberta. Elas incluem até instalação de fábrica de aplicativos com falhas de segurança.

Segundo o estudo, as as vulnerabilidades permitem a gravação de áudio não autorizada; a execução de comandos; pode dar a capacidade de modificar propriedades do sistema e realizar configurações remotas.

Como citado por Angelos Stavrou, CEO da Kryptowire, o problema maior é que muitos desses apps não podem ser desinstalados. “Queríamos entender como é fácil alguém invadir um dispositivo sem que o usuário faça o download de um aplicativo”, disse.

“Como o código está profundamente oculto no sistema, na maioria dos casos o usuário não pode fazer nada para remover”, afirmou o executivo.

As falhas foram classificadas em duas: 1) de aplicativos locais; 2) de sistema ou assinatura de apps.

• Samsung: 33 falhas de sistema ou assinatura de apps;
• Asus: 20 falhas de sistema ou assinatura de apps e 6 de aplicativos locais;
• Xiaomi: 3 falhas de sistema ou assinatura de apps e 12 de aplicativos locais.

Entre os dispositivos listados, a Kryptowire encontrou falhas em modelos como nos Zenfones 3, 4 e 5; Redmi 5 e 6, Mi A2 Lite e Mi A3; Galaxy A3, A5, A7 e A8+. Estes são só alguns exemplos, mas a lista completa de vulnerabilidades e aparelhos está disponível no site da Kryptowire.

Problema contínuo

Stavrou destaca ainda que o ecossistema Android “envolve centenas de fornecedores que não estão necessariamente cooperando entre si ou têm qualquer processo para garantir a qualidade”.

Segundo ele, a corrida para criar dispositivos mais baratos tem feito com que a qualidade do software esteja sendo “corroída de uma maneira que expõe o usuário final.”

À publicação da Wired, o Google enviou um comunicado agradecendo o trabalho dos pesquisadores. A empresa lançou em 2018 uma ferramenta chamada Build Test Suite, que verifica softwares em busca de aplicativos pré-instalados que sejam potencialmente perigosos.

Mais recentemente, a empresa lançou a App Defense Alliance em parceria com as empresas de segurança ESET, Lookout e Zimperium. A ideia, com a aliança, é analisar os aplicativos que são enviados à Google Play.

Em resposta ao IT Forum 365, a Asus comentou que “os problemas já estão em processo de correção”. Leia a nota na íntegra a seguir.

“A ASUS está atenta e busca sempre melhorar o sistema de segurança em seus dispositivos com atualizações frequentes e monitoramento em tempo real de possíveis ameaças. Geralmente, quando essas pesquisas são divulgadas, a empresa já tomou todas as medidas necessárias e os problemas já estão em processo de correção. Priorizamos a qualidade e a segurança dos nossos produtos, com tecnologia de ponta e um time completo de profissionais de alta qualidade que trabalha em conjunto com o Google para evitar e resolver esse tipo de problema.”

Já a Samsung, em nota ao site, afirmou que investigou de prontidão quando alertada pela equipe da Kryptowire. A seguir, a nota na íntegra da empresa.

“A Samsung leva a segurança muito a sério e nossos produtos e serviços são desenvolvidos sempre com isso mente. Desde que fomos notificados pela Kryptowire, investigamos prontamente os aplicativos em questão e verificamos que as proteções apropriadas já estão em vigor. Para garantir a segurança de qualquer dispositivo, continuamos a avaliar o feedback que recebemos sobre todos os nossos produtos e serviços.”

Até o momento de publicação desta matéria, a Xiaomi não havia enviado um posicionamento sobre o assunto. Portanto, ela poderá ser atualizada posteriormente com uma resposta da fabricante.

Fonte: Kryptowire. Via: Wired.

*Atualizada em 19/11/2019, às 10:28, com posicionamento da Samsung sobre o caso.