O sistema Android frequentemente é alvo de críticas relacionadas a diversas vulnerabilidades de segurança que podem afetar a privacidade dos usuários. Apesar dos esforços da Google em tornar o sistema operacional mais seguro, problemas continuam surgindo de tempos em tempos. Nesta semana, a Google anunciou a descoberta de uma vulnerabilidade crítica que poderia permitir a execução remota de código sem nenhum clique.
Identificado como CVE-2023-40088, o defeito foi encontrado no componente System do Android e foi classificado pela Google como de severidade ‘Crítica’. Segundo o National Vulnerability Database, o problema ocorre durante um evento callback_thread_event do com_android_bluetooth_btservice_AdapterService.cpp, onde a memória pode ser corrompida devido a um uso após liberação (use-after-free). Isso poderia levar à execução remota de código sem privilégios adicionais e sem interação do usuário.
Não há informações sobre se a falha já foi explorada na prática, mas a Google afirmou ter lançado uma correção para o problema como parte do boletim de segurança de dezembro de 2023. De acordo com as notas de lançamento, a correção é compatível apenas com versões mais recentes do Android, abrangendo da versão 11 à 14.
É importante observar que a emissão de uma correção pela Google representa apenas o primeiro passo na proteção dos usuários finais, pois cada fabricante ou operadora ainda precisa disponibilizar sua própria atualização para corrigir o problema.
Portanto, a menos que você esteja usando um dispositivo Pixel, pode ser necessário esperar várias semanas pela atualização, e alguns dispositivos podem nunca recebê-la.
Além da falha mencionada, a Google corrigiu mais 84 vulnerabilidades de segurança como parte da atualização de dezembro. Três dessas são classificadas como ‘Críticas’, enquanto as demais são listadas como de severidade ‘Alta’.
Diversas outras vulnerabilidades afetam componentes de código fechado da Qualcomm e são detalhadas no último boletim de segurança da Qualcomm. Uma dessas vulnerabilidades é classificada como ‘Crítica’, enquanto as demais são consideradas de severidade ‘Alta’.
Leia também: Android 14 já está disponível, iniciando nos celulares Google Pixel
Com a segurança se tornando uma questão cada vez mais delicada para os usuários do Android, a Google anunciou estar trabalhando em novas maneiras de reforçar a segurança de seu sistema operacional móvel. Em primeiro lugar, a empresa está introduzindo sanitizadores baseados em compiladores para detectar problemas de segurança de memória no início do processo de desenvolvimento de software.
Em seguida, está colaborando com parceiros de hardware para adicionar recursos de segurança de memória no nível do firmware. Por fim, a empresa está implementando diversas medidas para dificultar a exploração de bugs desconhecidos por hackers.
