Contente

• O que são atualizações de segurança do Android?
• Por que os patches de segurança são importantes?
• Quais telefones recebem atualizações de segurança?
• Práticas recomendadas de segurança para Android
• E as vulnerabilidades e explorações de dia zero?
• Embrulhar

Você deve ter notado que, de tempos em tempos, o seu smartphone Android solicita que você baixe e instale uma nova versão do firmware. Talvez na primeira vez que isso aconteceu, você tenha pensado em receber uma atualização para a versão mais recente do Android, ou talvez alguns novos recursos foram adicionados. Mas, no final, acabou sendo uma atualização de segurança do Android "chata"! Embora as atualizações de segurança do Android sejam realmente chatas, elas são muito importantes.

Vamos dar uma olhada nessas correções de segurança e na segurança do Android em geral, para ver qual é o problema!

O que são atualizações de segurança do Android?

Tem sido dito frequentemente que “errar é humano” e, como Alexander Pope diz, “perdoar é divino”, você encontrará computadores e hackers e não perdoará muito! Sempre que o software é escrito, ele inerentemente contém erros ou bugs, como os desenvolvedores gostam de chamá-los. Tentar reduzir o número desses bugs é um dos principais objetivos dos engenheiros de software. Primeiramente, tentando capturar os bugs no momento em que o software foi gravado. Em segundo lugar, corrigindo os erros depois que eles foram encontrados.

Existem dois tipos de erros. Primeiro, erros que fazem com que o software se comporte incorretamente. Digamos que você digite "001.300 * 02.7000" no aplicativo calculadora e ele fornece a resposta 2,51. Claramente, algo está errado, talvez esses zeros extras tenham causado o comportamento inesperado do software? Depois que o problema é encontrado, o software pode ser corrigido e uma atualização enviada aos usuários. Esses bugs geralmente são um incômodo e, se forem graves o suficiente, podem afetar a reputação da marca / vendas, etc., mas geralmente não são perigosos (mas mais sobre isso daqui a pouco).

A segunda categoria de bug é aquela que afeta a segurança do software e do dispositivo em que está instalado. Portanto, como um exemplo simples, um aplicativo pode solicitar um nome de usuário e senha. Pode existir um erro onde, se o usuário digitar o nome correto, mas deixar a senha em branco, o usuário terá acesso concedido. Isso pode parecer estúpido, mas realmente aconteceu. Agora, existe um erro que permite acesso não autorizado a dados privados. A maioria dos erros de segurança é muito mais complicada e sutil do que isso. Mas, em essência, um erro no programa permite que terceiros obtenham acesso que não deveriam ter. Quando esses bugs são encontrados, eles precisam ser corrigidos rapidamente e implantados rapidamente para proteger os usuários.

Às vezes, os erros na primeira categoria, os erros inesperados de comportamento, podem ser manipulados de forma a se tornarem erros na segunda categoria.

Portanto, uma atualização de segurança do Android é um grupo acumulado de correções de bugs que podem ser enviadas por via aérea para dispositivos Android para corrigir bugs relacionados à segurança.

Por que os patches de segurança são importantes?

Após a instalação de um novo patch de segurança, você não verá absolutamente nenhuma diferença em sua funcionalidade! Parece que a atualização não conseguiu nada. Mas essa é, naturalmente, a natureza das correções de erros de segurança. Você não os percebe porque eles consertam orifícios, geralmente orifícios muito pequenos, na segurança do dispositivo.

Por exemplo, pode haver uma vulnerabilidade na qual, se você receber um SMS em caracteres coreanos e russos misturados com exatamente 160 caracteres, a elaboração inteligente do texto no texto pode desencadear um bug que, por sua vez, pode ser usado para abrir um buraco nas defesas do seu dispositivo. Como não recebo muitos s, por isso, se o bug fosse encontrado e corrigido, não seria mais sábio. Mas eis o seguinte: quando os hackers descobrem esses bugs esotéricos, eles criam s especiais e os enviam para pessoas-alvo com o objetivo de obter acesso aos seus dispositivos. Os alvos são vulneráveis ​​às maquinações desses cibercriminosos. No final, você vê um SMS estranho, franze a testa um pouco e exclui-o. Mas você não sabe que seu telefone foi comprometido.

Após a instalação de um novo patch de segurança, você não verá absolutamente nenhuma diferença em sua funcionalidade!

Portanto, os patches de segurança são importantes, pois protegem seu telefone de possíveis hackers que desejam acessar seu dispositivo. Imagine todos os dados que estão no seu telefone. Esqueça fotos e WhatApps s. E o setor bancário? Compras na Amazon? eBay? Google Pay? Há uma longa lista de coisas que seriam do interesse de um hacker.

Quais telefones recebem atualizações de segurança?

Teoricamente, todos os smartphones Android devem receber cerca de dois anos de atualizações de segurança. No entanto, a realidade geralmente é muito diferente. Do jeito que devemos O trabalho é assim: o Google corrige um bug relacionado à segurança no Android. O Google publica essas alterações no AOSP e / ou notifica seus parceiros (todo OEM que possui um dispositivo Android certificado pelo Google). O Google faz isso mensalmente. Os fabricantes de smartphones incorporam essas correções no firmware e, se necessário, fornecem uma cópia para as operadoras. As operadoras aprovam as correções e, finalmente, a liberação é enviada aos dispositivos pelo ar.

Isso funciona muito bem nos telefones do Google, como o intervalo de pixels. Também funciona bem em dispositivos Android One, que são basicamente mantidos pelo Google. Também funciona bem para grandes marcas. Por exemplo, o Samsung Galaxy Note 8 foi lançado em agosto de 2017. Eu tenho um e posso confirmar que ele recebeu regularmente (atualizações quase mensais). Na verdade, ele também foi atualizado para o Android 9.0 Pie.

Porém, para algumas marcas de médio porte, as atualizações podem ser mais esporádicas, enquanto para marcas menores elas geralmente não existem! A falta de atualizações de segurança pode ser um problema real. Parece que alguns fabricantes de smartphones têm uma mentalidade de “vender e esquecer”. Isso significa que existem milhões de telefones Android atuais (com menos de 2 anos) nas mãos dos consumidores que não estão recebendo atualizações de segurança, deixando-os potencialmente expostos a todos os tipos de ataques. No lado positivo, o Google sabe que isso é um problema e deseja corrigi-lo!

Práticas recomendadas de segurança para Android

Independentemente da frequência com que seu dispositivo recebe correções de segurança, vale a pena observar as seguintes práticas recomendadas de segurança para Android:

• Não clique nos links de e-mails, WhatsApp, Facebook Messenger ou SMS, a menos que esteja confiante sobre a fonte do link e para onde ele o levará.
• Mantenha seus aplicativos atualizados, incluindo o Chrome e outros aplicativos do Google.
• Use senhas exclusivas: não use a mesma senha em várias contas. Fazer isso é como usar a mesma chave para várias casas: aumenta o risco de segurança. Se isso parecer muito complicado, use um gerenciador de senhas.
• Proteja suas contas com a verificação em duas etapas: mesmo que seu nome de usuário e senha sejam roubados, a verificação em duas etapas será ativada com a ajuda de manter os invasores afastados.
• Faça o exame de segurança do Google: é fácil (g.co/securitycheckup) e analisa o status de segurança da sua conta do Google.

E as vulnerabilidades e explorações de dia zero?

Há um aspecto da segurança do Android que não é coberto pelas atualizações de segurança mensais. Vulnerabilidades de dia zero. Esses são erros que o Google não conhece, mas outra pessoa sabe. São erros de segurança que o Google teve zero dias para tentar corrigir. O que acontece aqui é que as chamadas empresas de "pesquisa de segurança", ou cibercriminosos, tentam encontrar bugs no Android e depois descobrem que não contam a ninguém. Eles se tornam um arsenal secreto que pode ser usado por meios nefastos.

Como esse arsenal é secreto e difícil de adquirir, essas vulnerabilidades de dia zero são altamente valorizadas. Eles se acostumam de duas maneiras. Ou são vendidos a entidades com muito dinheiro, como as forças de segurança de um estado-nação, ou são usados ​​diretamente pelos criminosos cibernéticos em um ataque maciço para tentar fraudar pessoas.

Em ambos os casos, eles podem ser mortais, literalmente, como vimos recentemente com a morte de Jamal Khashoggi. Depois que essas vulnerabilidades de dia zero começam a ser usadas publicamente (em estado selvagem), geralmente não demora muito para que o Google consiga isolar o problema e emitir um patch. Novamente, destacando a necessidade de manter seu telefone atualizado com as correções de segurança mensais.

Embrulhar

Segurança, como backups, pode ser chata. O problema com os backups é o máximo de pessoas que não pensam neles até perderem todos os dados. Da mesma forma, a maioria das pessoas não pensa em segurança até que sua conta de e-mail tenha sido invadida ou que sejam feitas cobranças fraudulentas por meio do banco online.

Sempre haverá um elemento de risco, mas as atualizações de segurança do Android fornecem uma maneira de reduzir esse risco, além de melhorar a estabilidade e a confiabilidade do seu dispositivo. Resumindo, sempre que o telefone indicar uma atualização, instale-o.