Com a quantidade de smartphones baseados no sistema operativo Android, torna-se uma tarefa cada vez mais árdua manter todos os dispositivos atualizados e em conformidade com os últimas patches de segurança disponibilizados pela Google. Para tentar perceber como funciona o processo de atualização e a segurança dos aparelhos, investigadores da empresa Security Research Labs passaram os últimos dois anos a testar 1.200 smartphones Android de mais de uma dúzia de empresas, entre elas a Samsung, a Google com o seu Pixel, a HTC e a Motorola.

Os investigadores Karsten Nohl e Jakob Lell centraram-se a fazer engenharia-inversa no código do sistema operativo, cruzando as notas de informação da correção com a alteração do respetivo código no aparelho e descobriram diversos problemas, sobretudo algumas mentiras das fabricantes aos seus clientes. Certas marcas listam na informação que os seus aparelhos têm as atualizações de segurança até uma certa data, quando na realidade foram ignoradas dúzias de patches correspondentes a esse período.

TEK android patch
TEK android patch

No relatório completo, que será publicado no final da semana, mas o qual a Wired teve acesso, os investigadores referem que existe um espaço de tempo entre o lançamento da atualização e a real instalação no dispositivo. O tempo varia entre fabricantes, mas o suficiente para deixar os aparelhos desprotegidos contra eventuais ataques de hacking. Segundo os investigadores, existem algumas “falcatruas” graves, tais como mudar a data sem instalar qualquer atualização ou o destoar a informação de quando o smartphone foi atualizado.

O mais grave é que nem a Google, através dos seus dispositivos Pixel e Pixel 2, serve de exemplo, ao informar os seus clientes de atualizações instaladas, mas que na verdade estavam ausentes, em algumas situações. Também os modelos antigos parecem ser ignorados e abandonados pelas empresas em relação às atualizações de segurança, mas mantêm a informação de que foram atualizados.

Os investigadores referem que alguns modelos estão atualizados como seria de esperar, mas outros falham algumas patches intermédias, confundindo os utilizadores sobre o estado real de segurança do seu smartphone.

Para tornar a informação mais transparente e os utilizadores manterem-se atentos sobre as atualizações de segurança e o estado geral dos seus telemóveis, a SRL Labs desenvolveu a aplicação SnoopSnitch disponível na Google Play. Numa nota mais positiva, os investigadores referem que mesmo faltando algumas patches de segurança é difícil de fazer hacking através desses "buracos" no sistema.