Um pesquisador descobriu uma falha no sistema de criptografia de disco do Android na semana passada, que permitia a descodificação do dispositivo equipado com chip Qualcomm. Parecia à primeira vista como uma grande descoberta de segurança. Mas a fabricante de chips agora afirma que avisou à Google sobre essas vulnerabilidades em novembro de 2014 e fevereiro de 2015.

Os patches vieram em tempos que coincidem com as investigações da Federal Trade Commission e da Federal Communication Comission, relacionadas ao ritmo em que o Google e outros fabricantes de smartphones implantam suas atualizações de segurança. A FCC citou o bug Stagefright no Android como uma das vulnerabilidades de segurança que instigaram as investigações.

Com tanto foco sobre criptografia nos EUA e Europa, incluindo tentativas de governos em enfraquecer a tecnologia, o atraso de um ano parece ser um problema gritante. Mas para entender por que os usuários não obtiveram uma correção até maio, é preciso ter uma ideia da complexidade na cadeia de fornecimentos para dispositivos Android.

As fabricantes que usam Android dependem de outras empresas que fornecem as diferentes peças dos dispositivos, e a Google tem pouco - ou nenhum - controle da esmagadora maioria desses aparelhos. Esta cadeia de fornecimento diversificada é o que levou à falha de segurança utilizada para quebrar a criptografia de disco do Android.

O pesquisador de segurança Gal Beniamini descobriu vários problemas na implementação de criptografia completa de disco do sistema, que permite um invasor descriptografar um dispositivo Android com um chip Qualcomm. Isso porque os dispositivos Android com chips Qualcomm armazenam suas chaves de criptografia em software e não em hardware. Para se ter uma ideia, o FBI teve dificuldade de quebrar a segurança do iPhone porque a Apple armazena as chaves de criptografia em hardware.

Beniamini, que publicou a respeito da falha no Android na semana passada, reportou suas descobertas para a equipe do Android e a Qualcomm e foi pago por meio do programa de recompensas que o Google paga por encontrar bugs. Mas de acordo com a Qualcomm, o Google sabia da vulnerabilidade desde 2014.

E não só isso, mas a Qualcomm disse através de um porta-voz que a empresa fez patches de correção para o Google em novembro de 2014 e fevereiro de 2015. Ainda assim, a vulnerabilidade permaneceu no Android tempo suficiente para Beniamini descobrir por conta própria.

Não está claro por que a correção do Android atrasou tanto. É possível que a equipe do Android não percebeu como a falha poderia ser explorada até que um pesquisador apontou.

Isso significa que a culpa é completamente da Google? Bem, lembremos novamente do problema que a fragmentação causa nas atualizações do Android. A companhia tem realizado alguns esforços para pressionar as fabricantes a levarem atualizações mais pontualmente. No entanto, não é possível ainda afirmar até onde vai a responsabilidade da companhia nesse caso.