Xiaomi foi muito rápida a resolver as vulnerabilidades identificadas.
Há sensivelmente uma semana revelámos aqui que 20 vulnerabilidades de segurança haviam sido encontradas em milhões de equipamentos Android da Xiaomi. Essas falhas afetam equipamentos com a interface MIUI, bem como com a interface mais recente, a HyperOS. Agora, um porta-voz da empresa afirmou que todas essas falhas foram corrigidas:
“A segurança dos dados e a privacidade dos nossos utilizadores são a nossa principal prioridade. A Xiaomi abordou todas as vulnerabilidades relatadas pela equipa do Overcured e garantiu que nenhum utilizador fosse exposto ao risco representado por essas vulnerabilidades.” A fabricante acrescenta que “os utilizadores são sempre aconselhados a atualizar os seus dispositivos para a versão mais recente do software que oferece atualizações de segurança”.
Essas vulnerabilidades incluíam acesso com privilégios de sistema, roubo de ficheiros também com privilégios de sistema e divulgação de dados de telefone, configurações e contas Xiaomi. Vários dos problemas identificados resultaram de alterações mal tratadas no código AOSP pela Xiaomi, afetando aplicações como localização, definições e serviços móveis.
Do lado da Google, seis vulnerabilidades foram detetadas pela Oversecured, incluindo duas específicas para dispositivos Pixel. Essas questões também foram abordadas pela empresa. Entre elas, encontramos acesso não autorizado à geolocalização do utilizador através da câmara e falhas na gestão de permissões Bluetooth. Estas vulnerabilidades mostram que até a Google está a modificar o código do AOSP para o desenvolvimento dos seus dispositivos, o que levará a riscos de segurança adicionais.
“Isso é muito típico do Android”, explica Sergey Toshin, CEO da Oversecured. “É uma grande ilusão acreditar que o Android é um sistema operativo de código aberto. Sim, parte do código é de código aberto, mas nem a Google o utiliza na sua forma original”.
Vulnerabilidades descobertas nos equipamentos da Xiaomi já foram resolvidas
Em resposta às preocupações levantadas por essas descobertas, um porta-voz do Google disse: “A segurança do utilizador é uma prioridade máxima e estamos comprometidos em resolver rapidamente as vulnerabilidades e lançar patches o mais rápido possível”. Uma declaração que não surpreenderá ninguém. “Apreciamos muito o trabalho da comunidade de pesquisa de segurança em ajudar a identificar vulnerabilidades e proteger o ecossistema Android.”
A Google afirma que o seu processo de desenvolvimento de patches é “o mais rápido possível”. Mas, em alguns casos, a empresa precisa de tempo para corrigir uma vulnerabilidade. É preciso dizer que o mecanismo de pesquisa às vezes demora – uma falha revelada em fevereiro de 2022 pela Oversecured levou mais de um ano para ser corrigida, e apenas porque a falha era de conhecimento público. “Respeitamos os engenheiros da Google, mas está claro que a abordagem deles em relação à segurança precisa de uma atualização”, afirma Sergey Toshin.
