Na última semana, a Kryptowire revelou um novo estudo o qual identificou 146 novas vulnerabilidades de segurança em aplicativos pré-instalados, nos celulares com Android modificado. Os apps afetados seriam nativos de smartphones de 29 diferentes marcas – entre elas, estão Samsung, ASUS e Xiaomi.

A coluna Detetive TudoCelular acessou os dados da pesquisa e entrou em contato com as principais envolvidas no caso, para entender o que elas têm a falar sobre a pesquisa e a proteção dos seus usuários. Confira a seguir:

Financiado pelo Departamento de Segurança Interna dos Estados Unidos, o levantamento da Kryptowire detectou aplicações as quais modificavam configurações do sistema do aparelho sem a autorização do usuário. Entre as práticas, incluem gravação secreta de áudios e concessão de permissão sem o dono do celular tomar conhecimento.

As ferramentas identificadas pela equipe de segurança consistem em fragmentos de software encontrados nos dispositivos, com dificuldades para serem deletados. Pela característica nativa dos apps, acabam por ter mais acesso ao smartphone do que os instalados posteriormente pelos usuários.

A Kryptowire classificou as brechas como as que podem ser exploradas por um aplicativo local ou por outros de sistema.

De todas as 29 fabricantes de smartphones que estão na lista da Kryptowire, as três com maiores casos descobertos possuem atuação no Brasil: Samsung (33 falhas), ASUS (26) e Xiaomi (15).

No primeiro caso, da fabricante sul-coreana, todas as vulnerabilidades foram encontradas no app Samsung Themes, em suas versões 6.1.0.0, 7.0.0.0 e 7.0.1.0, com brechas exploradas por apps do sistema. Entre os modelos afetados presentes na lista, aparecem estes dispositivos:

• Galaxy A3
• Galaxy A5
• Galaxy A7
• Galaxy A8 Plus
• Galaxy J3
• Galaxy J4
• Galaxy J5
• Galaxy J6
• Galaxy J7, J7 Max, J7 Neo, J7 Duo e J7 Pro
• Galaxy On 7
• Galaxy S7 e S7 Edge

Já nos casos da ASUS, os nomes dos pacotes afetados são com.log.logservice, com.asus.atd.smmitest, com.asus.loguploaderproxy, com.asus.splendidcommandagent e com.lovelyfont.defcontainer. Os aparelhos que constam na relação são estes:

• Zenfone 5 Selfie / Lite / Q
• Zenfone 4
• Zenfone 4 Max / Max Plus
• Zenfone 4 Selfie
• Zenfone 3
• Zenfone 3 Ultra
• Zenfone 3 Laser
• Zenfone 3s Max
• Zenfone Max Pro M1
• Zenfone Live
• Zenfone AR

Por último, as brechas encontradas na Xiaomi podem ser exploradas pelo sistema e por apps locais, nos pacotes com.huaqin.factory, com.miui.powerkeeper e com.qualcomm.qti.callenhancement. Os aparelhos detectados foram estes:

• Xiaomi Mi Mix 2S
• Xiaomi Mi Mix
• Xiaomi Mi A3
• Xiaomi Mi A2 Lite
• Xiaomi Mi Note 2
• Redmi Note 6 Pro
• Redmi 6 Pro
• Redmi 5
• Xiaomi Mi 5S Plus
• Mi Pad 4

Para o CEO da Kryptowire, Angelos Stravou, a maior parte da responsabilidade pelo ocorrido é do Google. Na visão do executivo, a gigante de Mountain View cobra menos do que deveria das fabricantes.

“O Google pode exigir uma análise mais minuciosa dos códigos e da responsabilidade do fabricante pelo software contido nos produtos que entram no ecossistema do Android. Os legisladores e criadores de políticas deveriam demandar que as empresas sejam responsabilizadas por colocar a segurança e a informação pessoal dos usuários em risco.”

Angelos Stravou

CEO da Kryptowire

Vale lembrar que o Google utiliza um sistema de detecção de apps pré-instalados suspeitos, chamado Build Test Suite (BTS). Contudo, mesmo com a presença da solução de segurança, as falhas foram detectadas no estudo.

Esta coluna entrou em contato com as três fabricantes que lideram o ranking do estudo da Kryptowire, além do Google – responsável pelo desenvolvimento do Android –, para entender qual é o posicionamento de cada lado nessa história.

Com o maior número de brechas detectadas, a Samsung reforçou que as iniciativas de segurança já foram colocadas em prática pela empresa, desde que foi avisada pela companhia que realizou o estudo.

“A Samsung leva a segurança muito a sério e nossos produtos e serviços são desenvolvidos sempre com isso mente. Desde que fomos notificados pela Kryptowire, investigamos prontamente os aplicativos em questão e verificamos que as proteções apropriadas já estão em vigor. Para garantir a segurança de qualquer dispositivo, continuamos a avaliar o feedback que recebemos sobre todos os nossos produtos e serviços.”

Já a ASUS destacou que, no momento de divulgação das pesquisas, a fabricante já tomou todas as providências e as correções estão em desenvolvimento.

“A ASUS está atenta e busca sempre melhorar o sistema de segurança em seus dispositivos com atualizações frequentes e monitoramento em tempo real de possíveis ameaças. Geralmente, quando essas pesquisas são divulgadas, a empresa já tomou todas as medidas necessárias e os problemas já estão em processo de correção. Priorizamos a qualidade e a segurança dos nossos produtos, com tecnologia de ponta e um time de profissionais altamente capacitados que trabalha, em parceria com o Google, para prevenir e solucionar esse tipo de problema.”

Até o momento de produção deste texto, foi possível estabelecer contato com o Google, que prometeu uma resposta – ainda não recebida. Por outro lado, não conseguimos retorno da assessoria da DL, responsável pelas operações da Xiaomi no Brasil. Quando houver uma resposta de ambas as companhias, este texto será atualizado.

Qual é a sua opinião sobre o estudo da Kryptowire e o posicionamento das empresas a respeito do caso? Participe conosco!