Atualização: Qualcomm deu seu esclarecimento sobre o assunto.

Desde que Google lançou o Nexus 6 em 2014 com Android Lollipop, a empresa começou a dar mais atenção para a segurança do sistema ao oferecer encriptação nativa. Esta mudança gerou até uma certa polêmica na época devido ao peso gerado por esta camada a mais de proteção fazendo com que o smartphone tivesse queda de desempenho e autonomia de bateria comprometida. É certo que melhorias foram feitas com o Marshmallow, mas a segurança dos dados dos usuários do Android ainda está longe de estar à prova de qualquer invasão ou roubo.

Manter um sistema totalmente seguro é uma tarefa incrivelmente complicada, e que hoje em dia passa pela utilização de unidades independentes e isoladas do resto dos sistemas normais nos chips de processamento, o que ajuda a dificultar o acesso por pessoas não autorizadas. Qualcomm também recorre a um sistema idêntico nos seus chips, o problema é que uma das chaves de segurança é guardada pelo software do componente, e acessível pelo sistema comprometendo seriamente a segurança de todos os dados.

As vulnerabilidades foram descobertas por um investigador de segurança que trabalha com a Google e a Qualcomm para corrigir o problema. A boa notícia é que algumas falhas já foram corrigidas por uma simples atualização de kernel. No entanto, outras podem nunca voltar ao normal, sendo necessário um novo hardware para corrigir totalmente a brecha de segurança.

Criptografia completa de disco é um recurso que mantém todos os dados de um dispositivo seguro, tornando-o ilegível sem uma chave única. A recente batalha legal entre a Apple e o FBI estava centrada nesse fato, e que nem mesmo a Apple tem acesso às chaves de criptografia dos usuários. Infelizmente, o mesmo não acontece com dispositivos Android Lollipop ou mais atual com hardware da Qualcomm, onde poderia permitir que um hacker obtenha essa chave. A partir daí tudo o que resta é a senha do usuário.

Mas calma! Não é preciso ficar preocupado. Mesmo com esta falha de segurança o invasor ainda terá o trabalho de descobrir sua senha via método de força bruta. As chances de ter seus dados roubados são poucas, mas é importante ter em mente que um sistema de encriptação completo de disco pode não ser tão seguro quanto você imagina.

Esclarecimento da Qualcomm: Fornecer tecnologias que suportam segurança robusta e privacidade é uma prioridade para a Qualcomm Technologies, Inc. (QTI). QTI continua a trabalhar de forma proativa, tanto internamente como com pesquisadores de segurança, como Gal Beniamini para identificar e abordar potenciais vulnerabilidades de segurança. As duas vulnerabilidades de segurança (CVE-2015-6639 e CVE-2016-2431) discutidas, em 30 de junho, no post de Gal Beniamini também foram descobertas internamente e os patches foram disponibilizados aos nossos clientes e parceiros. Continuaremos a trabalhar com o Google e o ecossistema Android para ajudar a endereçar vulnerabilidades de segurança e recomendar melhorias para que o Android tenha segurança total.