A empresa alemã Security Research Labs irá apresentar nesta sexta-feira, 13, na conferência sobre segurança Hack in the Box, em Amsterdã, um estudo que mostra que muitos fabricantes de smartphones Android não só deixam de disponibilizar atualizações para seus usuários, como também atrasam sua liberação por meses. Para piorar, muitos informam que o firmware do celular está atualizado, quando isso não é a verdade.
A notícia, que saiu na Wired, informa que os pesquisadores Karsten Nohl e Jakob Lell estudaram por dois anos a engenharia reversa de centenas de códigos de sistema operacional de telefones Android, verificando todos os detalhes se cada dispositivo realmente apresentava as atualizações de segurança indicados em suas configurações.
Eles descobriram o que chamaram de “falha de remendo”: em muitos casos, os telefones de certos fornecedores informavam aos usuários que eles tinham todos as atualizações de segurança do Android até uma certa data, enquanto, na verdade, faltavam dezenas de atualizações desse período, deixando os telefones vulneráveis ao ataque de hackers.
A SRL testou o firmware de 1.200 telefones, de mais de uma dúzia de fabricantes de telefones, para cada atualização Android lançada em 2017. Os dispositivos foram fabricados pelo próprio Google e por importantes fabricantes, como ZTE e TCL, entre outras. Seus testes descobriram que os próprios telefones da Google, Pixel e o Pixel 2, e até mesmo os fornecedores de celulares de primeira linha, afirmavam ter os patches instalados, porém, não tinham.
Depois dos testes, os pesquisadores separaram as fabricantes em três categorias com base em como as reclamações coincidiram com a realidade em 2017, concentrando-se apenas em telefones que receberam pelo menos uma atualização em outubro de 2017 ou depois dessa data.
Xiaomi, Oneplus e Nokia tiveram em média entre uma e três atualizações perdidas. HTC, Motorola, Huawei e LG perderam entre três e quatro das atualizações que afirmavam ter instalado. Mas as empresas de pior desempenho na lista foram as chinesas TCL e ZTE, cujos celulares tinham, em média, mais de quatro atualizações que afirmavam ter instalado, mas não tinham. Wiko, Google, Sony e Samsung foram os fabricantes que tiveram apenas uma atualização perdida.