Num mundo cada vez mais conectado, a segurança dos nossos dispositivos móveis tornou-se uma preocupação central. E quando falamos em sistemas operativos móveis, o Android destaca-se como o mais utilizado globalmente, com uma quota de mercado impressionante de 71%.
Este domínio traz consigo um alvo gigantesco para os hackers digitais, que não perdem a oportunidade de explorar vulnerabilidades para aceder a dados sensíveis dos utilizadores, como credenciais bancárias e informações pessoais.
Recentemente, veio a público uma falha de segurança que coloca em risco centenas de dispositivos móveis Android de marcas reconhecidas como ASUS, Fairphone, Lenovo, Microsoft, Nokia, Nothing e Vivo. Esta vulnerabilidade não é fruto de um ataque malicioso externo, mas sim de uma configuração inadequada dentro do próprio sistema operativo da Google, mais precisamente no AOSP (Android Open Source Project).
The technical write-up for CVE-2023-45779 has been published by Tom Hebb of Meta's Red Team X, revealing that several Android OEMs such as ASUS, Fairphone, Lenovo, Microsoft, Nokia, Nothing, and Vivo, were signing some of their APEX modules with the test keys publicly available… https://t.co/E0NauPEPyH pic.twitter.com/IzvtQ2x9Bw
— Mishaal Rahman (@MishaalRahman) January 30, 2024
O AOSP é uma iniciativa de código aberto que permite aos fabricantes de dispositivos adaptar o Android aos seus produtos. No entanto, foi descoberto que uma série de módulos APEX, que são componentes atualizáveis de sistema altamente privilegiados, estavam a ser assinados com chaves privadas disponíveis publicamente. Este erro abre a porta para que hackers possam procurar atualizações APEX e assumir o controlo total dos dispositivos afetados.
Entre os dispositivos vulneráveis encontram-se modelos como o ASUS Zenfone 9, vivo X90 Pro, Nokia G50, Microsoft Surface Duo 2, Lenovo Tab M10 Plus, Nothing Phone (2) e Fairphone 5. A gravidade deste problema é acentuada pelo facto de que, ao explorar esta falha, um atacante poderia obter um acesso total do dispositivo, comprometendo toda a segurança e privacidade do utilizador.
Curiosamente, o especialista em cibersegurança Tom Hebb, que divulgou o relatório sobre esta falha, não aponta o dedo diretamente aos fabricantes, mas sim a uma configuração insegura e a uma documentação deficiente no AOSP, além de uma cobertura incompleta nos testes de compatibilidade (CTS) do projeto. Isto sugere que o problema é sistémico e não um caso isolado de negligência por parte de uma marca específica.
Felizmente, apesar da seriedade da falha, Mishaal Rahman, um conhecido especialista em Android, assegura que a exploração desta vulnerabilidade por hackers é complexa. Além disso, a maioria dos fabricantes já emitiu um patch de segurança em dezembro de 2023 para corrigir o problema.
Na minha opinião, este caso sublinha a necessidade de uma vigilância constante e de uma abordagem proativa na gestão de segurança de sistemas operativos. Como utilizadores, devemos também estar atentos e garantir que os nossos dispositivos estão sempre atualizados com as últimas patches de segurança. Afinal, a segurança digital é uma responsabilidade partilhada entre fabricantes, desenvolvedores e utilizadores.