A segurança do Android é uma questão fundamental para o Google, sendo o sistema operacional móvel - de longe - o mais popular do mundo. Se a empresa de Mountain View publica atualizações de segurança todos os meses, todos os smartphones não são iguais diante dessa operação de manutenção.
Ativamente desenvolvido pelo Google desde 2007, o Android é hoje o sistema operacional móvel mais utilizado no mundo. A cada ano, a gigante da Web implanta uma, às vezes duas novas versões do sistema que trazem inovações mais ou menos significativas. Para garantir o bom funcionamento e a segurança da plataforma e das suas diferentes versões, a Google instalou um sistema de atualizações mensais acessíveis gratuitamente online. Essas atualizações, que incluem correções para vulnerabilidades de segurança, otimizações do sistema e até novos recursos, são particularmente importantes. Infelizmente, é claro que nem todos estão no mesmo barco. Se as últimas versões do sistema e atualizações são automaticamente enviadas para os terminais recentes da gigante da web (Nexus e Pixel), é uma história diferente para aqueles vendidos por fabricantes e operadoras de telefonia móvel que permanecem livres para usá-los.
Boletim informativo mensal do Google
Se o Google decidiu oferecer atualizações mensais para o Android, é porque, como todos os SOs, elas são essenciais para manter um bom nível de segurança. Basta examinar um dos boletins de atualização do Android mais recentes de outubro de 2017 para ver que eles incluem nada menos que 32 patches de segurança classificados por seu nível de periculosidade: Crítico (5), Alto (12), Moderado (12) e Baixo ( 3). O relatório esclarece que a mais recente vulnerabilidade mais grave descoberta no sistema pode ser explorada por um invasor para executar código malicioso com o objetivo de roubar dados, espionar o usuário etc.
Observe que os patches disponibilizados cobrem todas as versões do Android do KitKat 4.4 até o Oreo 8.0 mais recente. Por sua vez, o Google é responsável por enviar novos patches diretamente em seus terminais domésticos (Nexus e Pixel) por um período de pelo menos dois anos para o primeiro e três anos para o último a partir da data da compra. A título de comparação, a Apple atualiza seus iPhones e iPads por cinco anos.
Como os fabricantes lidam com as atualizações?
Fabricantes de smartphones e parceiros (operadores, fabricantes de componentes, etc.) do Android são sistematicamente alertados sobre a disponibilidade de novos patches para o SO, mas ficam livres para aplicá-los ou não. Para facilitar sua implantação pelos fabricantes, o Google modificou recentemente seu programa de atualização, separando as atualizações de segurança comuns a todos os smartphones Android, daquelas destinadas a componentes.
É claro que fabricantes e operadoras ainda estão relutantes em implantar atualizações rapidamente, que devem ser otimizadas para cada dispositivo para o qual ainda gerenciam suporte em cada país onde são comercializados. Como a grande maioria dos fabricantes e operadores personalizam a GUI do sistema operacional e adicionam seus próprios recursos e serviços, eles devem realizar uma bateria de testes e validações antes de implantar uma atualização, mesmo que pequena.
Isso envolve um trabalho de desenvolvimento significativo e, claro, um custo significativo. Alguns observadores acreditam que fabricantes e operadoras não atualizam seus terminais móveis como deveriam, para incentivar os consumidores a comprar novos. Como regra geral, fabricantes como Samsung, LG, Huawei ou HTC fornecem suporte de software para seus dispositivos Android por um período de um ano e meio a dois anos. Na verdade, no entanto, isso fica a seu critério, porque nada contratualmente os compromete a realizar atualizações ou migração para a versão mais recente do sistema operacional. A prioridade é dada aos modelos mais populares e sofisticados. Ao beneficiar de atualizações sem demora, os dispositivos ainda elegíveis vendidos pela Google são os terminais Android mais seguros do mercado. Um critério de peso em um momento em que as ameaças direcionadas ao Android nunca foram tão virulentas…
Os bons e os maus alunos
Vamos ser claros, os fabricantes não gostam de falar sobre atualizações do Android. A razão é simples: salvo algumas exceções, atualizações como as versões mais recentes do sistema são frequentemente reservadas para os modelos mais recentes e, mais particularmente, para os modelos de ponta. Concretamente, cada fabricante decide sozinho se deve ou não aplicar as atualizações. De acordo com um estudo da Apteligent na América do Norte, Motorola, LG e HTC foram os três fabricantes que implantaram as atualizações do Android mais rapidamente em 2016. Para pressionar os fabricantes, o Google agora publica regularmente em seu blog uma lista dos dispositivos Android mais seguros em mercado, ou seja, aqueles que receberam as últimas atualizações o mais rápido possível.
Em uma tabela publicada em 1º de junho de 2017, o Google listou os 42 modelos de smartphones mais seguros, incluindo vários modelos Nexus e Pixel. De acordo com a gigante de Mountain View, mais de 100 dispositivos receberam os patches mais recentes do sistema operacional em 90 dias. A tabela mostra os 42 bons alunos atualizados em menos de dois meses. Vários modelos recentes e bastante sofisticados da Samsung estão na lista (Galaxy S8+, Galaxy S8, Galaxy S7, Galaxy S7 Edge, Galaxy S7 ativo, Galaxy S6 ativo). Existem também vários terminais da LG (G6, V20, 2V Stylo, DGAP 7.0 LTE), três da Sony (Xperia XA1, Xperia X), ou até dois da Motorola (Moto Z, Z Moto Droid). Uma das grandes surpresas neste ranking vem da fabricante chinesa Vivo, que coloca 3 modelos (Vivo 1609, 1601 e Y55). Impossível não notar a ausência pura e simples de grandes players como Huawei, ZTE, Xiaomi, Lenovo ou mesmo HTC.
Quais são os riscos incorridos sem atualizações?
Smartphones e tablets Android que não são atualizados inegavelmente representam riscos de segurança. Como vimos, somente em outubro, o Google corrigiu mais de trinta vulnerabilidades, algumas das quais são consideradas potencialmente muito perigosas. Quando os patches estão disponíveis, é imperativo instalá-los o mais rápido possível. Com a significativa cobertura midiática dos recentes ataques cibernéticos, como roubo de dados em larga escala (CCleaner, Elifax, Yahoo!...) ou o temido ransomware (WannaCrypt, Petya...), cada vez mais consumidores estão se conscientizando da importância de garantir a segurança do seu computador, em particular atualizando regularmente os seus dispositivos. No entanto, ainda há uma taxa muito alta de usuários que não estão absolutamente preocupados com isso e que não aplicam as apostas disponíveis.
Sem esses patches, os dispositivos Android ficam de fato expostos a uma ampla gama de ameaças (phishing, ransomware, aplicativos fraudulentos etc.). Os usuários de dispositivos Android com mais de três anos – 50% da frota Android segundo o Google – também não se beneficiam das mudanças relacionadas à proteção da privacidade. Desde que a versão do Android 6 Marshmallow foi lançada em 5 de outubro de 2015, o Google realmente modificou seu sistema de gerenciamento de permissões de aplicativos. Uma melhoria significativa na proteção da privacidade, pois em vez de ter que aceitar todas as permissões solicitadas pelos aplicativos durante sua instalação, os usuários da versão 6 e posteriores agora podem escolher quais direitos de acesso concederão a cada um deles. Os usuários de dispositivos antigos devem, portanto, estar mais atentos e possivelmente garantir sua segurança usando ferramentas de terceiros, como o Lookout Mobile Security, por exemplo.
Como verificar a versão do sistema operacional e as atualizações de segurança?
O ritmo sustentado de lançamento de novas versões da plataforma é tal que a maioria dos novos smartphones à venda no mercado não beneficiam da versão mais recente do SO. Sendo cada fabricante livre para empurrar ou não as novas versões do sistema operacional em seus terminais, os consumidores não têm outra escolha a não ser descobrir se seu dispositivo é elegível para a próxima atualização do sistema. Observe que a implantação de uma nova versão pode exigir uma espera geralmente entre dois meses e um ano. Para saber a versão do Android usada em um terminal, vá para as configurações do smartphone, clique em “Sobre o telefone” e depois em “Informações do software”: a versão do SO é indicada na primeira linha da página que se abre. No mesmo menu “Sobre o telefone”, basta selecionar “Centro de atualizações” e depois “Atualização de software” para saber se há atualizações mensais ou se uma nova versão da plataforma está disponível.
Conclusão
Com 1,27 bilhão de smartphones Android vendidos somente em 2016, o sistema operacional do Google captura nada menos que 85,2% do mercado (fonte IDC). Tal como no mundo dos computadores com Windows, este sucesso desperta a ganância dos hackers que privilegiam sempre os alvos mais populares, mas também os mais vulneráveis. De acordo com a editora de segurança Avast, as ameaças cibernéticas a smartphones e tablets Android aumentaram 40% em 2017 em comparação com o ano anterior. Nada tranquilizador, especialmente porque esses ataques, que visam principalmente os dados pessoais dos usuários, são cada vez mais implacáveis. De ransomware em plena expansão, a sites de phishing, passando por aplicativos fraudulentos e falsificados (aplicativo falso), anúncios maliciosos (adware) ou até mesmo controle remoto (rooters), as ameaças que pesam no Android são múltiplas. O Google tenta por todos os meios deter o fenômeno publicando atualizações mensais para seus parceiros Android, mas também desenvolvendo novas ferramentas para combater o flagelo de aplicativos maliciosos. Após a conferência anual Goolge I/O em maio passado, a empresa lançou um novo serviço dedicado à segurança chamado Play Protect.
Acessível em terminais elegíveis para atualização através do menu “Aplicativos”, o serviço permite a verificação automática ou manual dos aplicativos instalados e informa o usuário quando detecta uma falha. O Google Play Protect também está disponível no Google Play através do menu lateral. Como em um terminal, é possível ativar uma verificação automática de aplicativos diretamente pela loja online. Apostamos que essas medidas melhorarão gradualmente a segurança no Android, mesmo que ainda haja muito a ser feito para a metade dos usuários no mundo que não têm mais acesso a atualizações. Os usuários do Android devem, portanto, permanecer particularmente vigilantes. Além de disponibilizar atualizações regulares (sistema, apps, serviços etc.), algumas regras básicas já podem ajudar a proteger contra uma boa quantidade de riscos: personalizar o código PIN, configurar um código de bloqueio, nunca baixar aplicativos fora do Google Play , criptografar dados do dispositivo por meio das configurações do sistema, usar senhas complexas (ou um gerenciador dedicado), fazer backup de dados regularmente ou evitar conectar-se a pontos Wi-Fi não seguros...