Propaganda

Pode ser difícil resistir ao fascínio de um smartphone barato, especialmente porque agora eles são quase tão capazes quanto os modelos mais caros. É por esse motivo que fabricantes chineses anteriormente desconhecidos, como Huawei e Xiaomi, são ultrapassando rapidamente Por que seu próximo smartphone Android deve ser chinêsDurante anos, os smartphones chineses obtiveram uma má reputação, mas aqui está o porquê de você realmente considerar uma agora. consulte Mais informação fabricantes mais estabelecidos e premium, como Samsung, Sony e até Apple.

Mas, como em todas as coisas, você obtém o que paga. Uma vulnerabilidade recentemente descoberta em muitos aparelhos chineses econômicos, que podem permitir que um invasor obtenha acesso root, comprova esse modo. Aqui está o que você precisa saber.

Compreendendo o ataque

Muitos telefones executam SoCs (Sistema no Chip Jargon Buster: O guia para entender os processadores móveisNeste guia, abordaremos o jargão para explicar o que você precisa saber sobre os processadores para smartphone. consulte Mais informação

) construído pela MediaTek, de Taiwan, que é um dos maiores fabricantes de semicondutores do mundo. Em 2013, eles produziram um fenomenal 220 milhões de chips para smartphones. Um de seus maiores vendedores é o MT6582, usado em vários smartphones de baixo custo, com muitos deles produzidos por fabricantes chineses como Lenovo e Huawei.

O MT6582 veio com uma configuração de depuração ativada, que de acordo com o fabricante, foi usada para testar a "interoperabilidade de telecomunicações" na China.

Embora isso fosse necessário para o MediaTek projetar o chip e garantir que ele funcionasse corretamente, deixá-lo em um dispositivo de consumidor representa um risco de segurança incrível para os consumidores. Por quê? Porque permite que um invasor, ou um software malicioso, obtenha acesso root ao telefone.

Portanto, a Mediatek quebrou os recursos básicos de segurança para que esse backdoor funcionasse. As propriedades somente leitura NÃO são somente leitura! pic.twitter.com/pEjtMNpo9v

- Justin Case (@jcase) 13 de janeiro de 2016

Com isso, eles poderão modificar e excluir arquivos e configurações importantes do sistema, espionar o usuário e instalar ainda mais malwares sem o consentimento do usuário. Se um invasor quisesse, ele poderia bloquear o telefone, tornando-o permanentemente inutilizável.

Segundo o The Register, esta vulnerabilidade só pode ser executada em telefones executando a versão 4.4 KitKat do sistema operacional Android.

A descoberta dessa vulnerabilidade segue uma falha semelhante encontrada no chaveiro do SO da versão 3.8 do Linux Kernel, que foi divulgado por pesquisadores em janeiro Esta falha insana no Linux dá a qualquer pessoa acesso root à sua caixa consulte Mais informação . Quando explorada, essa vulnerabilidade teria permitido ao invasor obter acesso root da máquina.

Essa vulnerabilidade afetou praticamente todas as distribuições do Linux, bem como uma pluralidade de telefones Android. Felizmente, uma correção foi emitida rapidamente.

Coloque seus forquilhas

Embora telefones como Lenovo e Huawei sejam especialmente afetados, você não deve culpá-los. Embora possa parecer atraente, dado que alguns desses fabricantes têm um histórico de impropriedades relacionadas à segurança.

A Lenovo é especialmente culpada por isso. Em 2014, eles quebraram o SSL para todos os seus usuários com SuperFish Os proprietários de laptops da Lenovo devem ter cuidado: o dispositivo pode ter malware pré-instaladoA fabricante chinesa de computadores Lenovo admitiu que os laptops enviados para lojas e consumidores no final de 2014 tinham o malware pré-instalado. consulte Mais informação . Então eles sobrecarregaram seus laptops com malware irremovível baseado em BIOS. Então eles instalaram um programa assustador de análise do Big Brother Agora são três malwares pré-instalados em laptops LenovoPela terceira vez em um ano, a Lenovo foi pega transportando computadores com clientes carregados de malware hostil à privacidade, mostrando que eles não aprenderam as lições dos protestos públicos Superfish. consulte Mais informação em seus desktops avançados ThinkPad e ThinkCenter.

Mas aqui, suas mãos estão limpas. De uma vez. A culpa está diretamente na porta da MediaTek, que enviou esses chips aos fabricantes com essa configuração ativada.

Sou afetado?

Vale ressaltar que essa vulnerabilidade não terá o mesmo alcance que a vulnerabilidade Linux mencionada acima. A vulnerabilidade é encontrada apenas em telefones executando um chipset que não foi lançado em nenhum telefone lançado em 2015 e 2016.

Também pode ser executado apenas em telefones com uma versão muito específica do Android, que apesar de rodar em cerca de um terço dos telefones Android, não é onipresente.

Apesar disso, é provavelmente uma boa ideia verificar se o seu telefone está vulnerável. Por acaso, eu tenho um telefone chinês econômico - um Huawei Honor 3C, que era o meu principal dispositivo até que eu fui para o Windows Phone em agosto.

HuaweiHonorC3

Para começar, procurei o dispositivo em GSMArena. Este é essencialmente o Enciclopédia Britânica de telefones. Se um grande fabricante o lançou, este site fornecerá estatísticas completas sobre ele. Informações sobre o chipset usado podem ser encontradas abaixo Plataforma. Com certeza, meu telefone Huawei contém.

MediaTekGSMArena

Então, preciso ver se estou executando a versão afetada do Android. eu abri Configuraçõese toquei Sobre telefone. Pode ser um pouco diferente para o seu telefone. Os fabricantes são conhecidos por personalizar o menu de configurações.

Configurações

Felizmente, meu telefone está executando o Android 4.2 Jellybean, que apesar de demorar muito, não é afetado por esta vulnerabilidade.

Se você é afetado

Embora tenha tido sorte, é seguro assumir que milhões de telefones serão afetados por isso. Se for, é aconselhável comprar um novo telefone.

o Motorola Moto G O Moto G está oficialmente aqui por apenas US $ 179 desbloqueadosA Motorola acaba de anunciar o boato Moto G, um primo mais barato do Moto X que custará US $ 179 para o modelo de 8 GB e US $ 199 para o modelo de 16 GB. consulte Mais informação é um ótimo celular econômico, produzido por um fabricante em que você pode confiar. Você pode adquirir um na Amazon por apenas US $ 110. Como um bônus adicional, a Motorola é bastante rápida quando se trata de emitir atualizações de software, o que a Huawei definitivamente não é.

Se você não puder fazer o upgrade, faça algumas precauções simples de segurança. Primeiro, tente evitar o download de software de fontes não confiáveis. Evite baixar aplicativos piratas Aplicativos e jogos para Android rachados: Leia isto antes de fazer o downloadAs estatísticas não mentem: a maioria dos malwares para Android vem de fora do Google Play. Baixar aplicativos rachados - ou qualquer tipo de aplicativo - de um site obscuro ou de uma loja de aplicativos de terceiros não confiável é a maneira mais ... consulte Mais informação e warez como a praga. Atenha-se à loja do Google Play.

É provável que muitos dos usuários afetados estejam sediados na China, onde a loja do Google Play não está disponível. Os consumidores chineses têm que se contentar com outros lojas de aplicativos alternativas As 4 melhores alternativas do Google Play para baixar aplicativos AndroidNão quer usar a Google Play Store? Ou não tem acesso a ele? Aqui estão as melhores lojas de aplicativos alternativas para Android. consulte Mais informação , muitos dos quais não são tão vigilantes na filtragem de malware quanto o Google. Esses consumidores seriam aconselhados a ter cuidado extra.

Resumindo: tenha medo, mas não

Essa vulnerabilidade é assustadora. É assustador porque é resultado de como uma determinada peça de hardware é configurada. É assustador porque não há etapas que um consumidor possa seguir para se manter seguro.

Mas vale ressaltar que a maioria dos consumidores não será afetada. Afeta apenas um número limitado de dispositivos, que foram lançados por alguns fabricantes por volta de 2013 e 2014. A maioria das pessoas devemos Fique bem.

Você foi impactado? Se sim, você receberá um novo telefone? Ou você não está tão preocupado? Deixe-me saber nos comentários abaixo.

Matthew Hughes é desenvolvedor e escritor de software de Liverpool, Inglaterra. Ele raramente é encontrado sem uma xícara de café preto forte na mão e adora absolutamente o Macbook Pro e a câmera. Você pode ler o blog dele em http://www.matthewhughes.co.uk e siga-o no twitter em @matthewhughes.