Google corrige falha crítica de segurança em Pixels, outros Androids paralisados

por | |

O que você precisa saber

  • O Google corrigiu uma grave falha de segurança para dispositivos Pixel com o lançamento do Pixel Feature Drop de junho na semana passada.
  • Embora a falha afete mais dispositivos Android, os dispositivos não Pixel terão que esperar pelo Android 15.
  • Essa decisão deixa os dispositivos Android vulneráveis a uma falha explorada ativamente por meses.

Na semana passada, o Google finalmente corrigiu uma falha crítica de segurança que pesquisadores e defensores da segurança vêm alertando desde abril. O problema foi incluído no Pixel Feature Drop de junho, tornando impossível para outros telefones Android receberem a atualização. O BleepingComputer foi o primeiro a relatar o patch, e a equipe da GrapheneOS – que primeiro identificou a vulnerabilidade – confirmou que os dispositivos não Pixel precisarão aguardar pelo Android 15 para receber a correção.

O Google corrigiu 50 vulnerabilidades de segurança na atualização QPR3 do Android 14 para Pixels. No entanto, uma dessas vulnerabilidades se destacou por ser uma vulnerabilidade de dia zero, o que significa que a falha foi explorada ativamente antes que o Google tomasse conhecimento dela. Essas vulnerabilidades de dia zero são as mais graves, e por isso o Google recomenda que todos os usuários do Pixel apliquem a atualização de junho o mais rápido possível.

A empresa compartilhou essas informações no Pixel Update Bulletin, onde o Google fornece atualizações sobre questões de segurança que afetam dispositivos Pixel ou Android. “Há indicações de que o CVE-2024-32896 pode estar sendo limitadamente explorado e direcionado”, explica a empresa. De acordo com o GrapheneOS, o CVE-2024-32896 explorado ativamente refere-se à mesma exploração que foi relatada anteriormente como CVE-2024-29748. O novo identificador representa a correção exclusiva do Pixel incluída na atualização de junho.

O problema é um problema de elevação de privilégio (EoP) com o firmware Android que o Google classifica como “alta gravidade” para Pixels.

“Ele foi explorado por empresas forenses contra usuários de aplicativos como Wasted e Sentry que tentavam limpar o dispositivo ao detectar um ataque”, explicou a equipe do GrapheneOS. “Nós abordamos isso como parte da criação do nosso recurso de PIN/senha de coação e relatamos isso para que o Google corrigisse o problema no Android, o que agora está resolvido.”

Os desenvolvedores acrescentam que dois problemas principais estão tornando a exploração possível. O primeiro é que a memória do sistema não é apagada ao entrar no modo de inicialização rápida, o que significa que uma exploração pode acessar memórias antigas do sistema. Um problema separado, mas relacionado, está relacionado à API de administração do dispositivo Android Open Source Project, que precisa ser reinicializada para a recuperação ser apagada – embora isso tenha sido corrigido no Android 14 QPR3.


O primeiro problema foi corrigido anteriormente em Pixels, e o segundo foi corrigido no Pixel Feature Drop de junho. No entanto, como mencionamos, apenas os telefones e tablets Pixel estão recebendo a correção. Isso ocorre devido à forma como os OEMs do Android lançam atualizações e correções de software, e isso não é inteiramente culpa do Google.

Por que outros telefones Android não estão recebendo correção

(Crédito da imagem: Nicholas Sutrich/Android Central)

Dado que esse problema foi ativamente explorado e possui alta gravidade, você pode estar se perguntando por que outros dispositivos Android não estão recebendo correção. Afinal, o Google está aconselhando os usuários do Pixel a atualizarem seus dispositivos o mais rápido possível para se protegerem. A verdade é que o Google fez a sua parte e cabe aos outros OEMs implementarem a correção. A empresa incluiu o patch no Android 14 QPR3, e qualquer dispositivo que receber a atualização do Android 14 QPR3 também o receberá.

Correções como essa são geralmente adicionadas ao Android Open Source Project, ou AOSP, que serve de base para outras versões do Android. Um sistema operacional como o One UI da Samsung ou o OxygenOS da OnePlus utiliza o AOSP como base. O problema é que os sistemas operacionais de terceiros geralmente implementam atualizações do AOSP anualmente. Portanto, a Samsung provavelmente utilizará a versão AOSP do Android 15 como base para o One UI 7. No entanto, uma versão futura do Android 15 QPR2 ou Android 15 QPR3 não afetará os dispositivos Samsung Galaxy até o One UI 8.

Em resumo, os dispositivos Google Pixel são os únicos a receber esse patch porque são os únicos a obter atualizações mensais, trimestrais e anuais. Teoricamente, outra empresa poderia pegar a correção incluída no Android 14 QPR3 e aplicá-la em seus telefones. No entanto, como os outros OEMs não realizam atualizações trimestrais, os patches de segurança presentes no Android 14 QPR3 não chegarão aos seus dispositivos até o Android 15.

Alguns patches de segurança são backportados para versões mais antigas do Android por meio de um processo chamado backporting. No entanto, nem todos os patches são backportados. O Google deveria ter feito backport da correção para essa falha de segurança, dada sua gravidade e o fato de ser de dia zero. No entanto, não é completamente responsabilidade do Google fazê-lo. Além disso, apenas metade dos problemas de segurança estão relacionados ao AOSP. O primeiro problema descrito acima não pode ser resolvido por ninguém além de cada fabricante.

Este é o exemplo mais recente de como escolher um telefone Android de uma marca diferente do Google pode colocar o usuário em risco de segurança. Outras marcas são muito lentas para responder a falhas críticas de dia zero com patches, o que é um problema real. Às vezes, a culpa é do Google e de outros OEMs parceiros, e muitas vezes é uma combinação de ambos. De qualquer forma, os usuários acabam prejudicados.

Adicionar aos favoritos o Link permanente.