Brechas de segurança que deixam smartphones e tablets comAndroid abertos a invasões ficarão sem correções oficiais do Google.
As falhas recém-descobertas — 11, no total — foram relatadas por um engenheiro da Rapid7, Tod Beardsley, e afetam o WebView nas versões 4.3 ou anteriores do sistema operacional móvel.
Elas são usadas hoje por 60,9% dos donos de aparelhos, o que equivale a mais de 900 milhões de pessoas.
O componente é usado por aplicativos para renderizar páginas na web sem precisar recorrer sempre a um navegador.
Portanto, se as vulnerabilidades nele não são corrigidas, usuários ficam sujeitos permanentemente ao risco de acessar um endereço contaminado e ter o aparelho atingido por um ataque conduzido por download, segundo o blog da empresa de segurança BitDefender.
Golpes do tipo fazem com que o aparelho baixe, sem autorização do usuário, um programa potencialmente malicioso.
Informações sobre as brechas foram enviadas por Beardsley à equipe de segurança do Google.
A resposta, no entanto, dizia que, normalmente, eles não desenvolvem atualizações para versões do sistema mais antigas do que a 4.4.
Além de notificar as operadoras, não poderemos tomar nenhuma outra providência referente a problemas relatados que afetam versões anteriores à 4.4 e que não vêm acompanhados de um patch, escreveu um representante da companhia.
Em resumo, se os pesquisadores que encontraram as vulnerabilidades não criarem uma solução eles mesmos, nada mais poderá ser feito pelo Google, que já não lida mais com isso.
A companhia deixou de prestar suporte ao WebView dos Androids mais antigos, que funcionava integrado diretamente ao sistema, depois de trocar o componente no KitKat e em edições posteriores.
Com a atualização da plataforma, o serviço passou a utilizar uma versão do WebView baseada no projeto Chromiume a ser parte dos Google Play Services, o que significa que ele é hoje atualizado direto pela Play Store.
Disponibilizar um patch para a ferramenta nas edições mais antigas do SO já é bem mais complicado do que isso.
Para que o update seja aplicado, é preciso que as operadoras e as fabricantes dos aparelhos colaborem, mais ou menos como acontece nas atualizações do sistema — que ficam meses ou até anos na espera, como já sabemos.
Por essa dificuldade em lidar com terceiros – e também devido à idade do Android 4.3, lançado em 2013 –, deixar de dar suporte ao sistema seria até compreensível -, mas apenas caso o número de usuários não fosse tão alto.
O cenário, no entanto, é justamente o contrário.
Pela última contagem feita pelo Google, 46% dos Androids em uso atualmente estão com o Jelly Bean (4.1 a 4.3), e quase 15% deles seguem com o Gingerbread (2.3) ou com o Ice Cream Sandwich (4.0).
Ao todo, mais de 60% dos aparelhos são afetados pelas brechas, o que representa mais de 900 milhões de usuários potencialmente em risco.
E o pior: há dispositivos com essas versões antigas à venda hoje, e na maior parte dos casos sem nem perspectiva de receber uma atualização para uma edição atual — ou seja, é bom evitá-los ao máximo.
Os pesquisadores que encontraram as brechas provavelmente não farão alguma atualização independente, até porque a variedade de modificações do SO tornaria a criação de um patch universal praticamente impossível. Mas Beardsley chegou a pedir para que o Google volte atrás na decisão.
“Como desenvolvedor de software, eu sei que dar suporte a versões antigas do meu software é um grande incômodo. Eu empatizo com a decisão deles de cortar laços com plataformas legadas”, escreveu.
“No entanto, não é em meu software que um bilhão de epssoas confiam para gerenciar e guardar a maior parte das informações pessoais de suas vidas.”
Mas como não houve uma resposta em relação a isso, a solução, por ora, é basicamente tomar cuidado com o que você abre.