Em comparação com o cenário do PC, o ambiente operacional Android está longe de ser inseguro. Os criadores do Android aprenderam com os erros do passado e fizeram o máximo que podiam para deixar o Android blindado contra vulnerabilidades e ameaças. Certamente, o mercado de dispositivos móveis não teria tido a ascensão meteórica que teve se sofresse das mesmas falhas de segurança do Windows de dez, quinze anos atrás.
Ainda assim, temos o Stagefright que não nos deixa tranquilos. Temos malwares aparecendo por todos os lados. Talvez seja a hora do ambiente Android se desvencilhar da mítica de que é à prova de falhas e assumir que existem, sim, questões de segurança perturbadoras a serem analisadas e consertadas.
Na medida em que o Android ganha popularidade entre os usuários e universalidade entre os mais diferentes dispositivos e pode se tornar o motor de impulsão da Internet das Coisas, é chegada de hora de encarar o problema de frente. Apresentamos 8 pontos vulneráveis que podem e vão dar de cabeça no futuro para a plataforma.
1) Versões ultrapassadas
Comparados com seu principal competidor, o iOS, o Android possui usuários que são incrivelmente lentos para atualizar seus sistemas operacionais. É fácil encontrar ainda em uso versões completamente obsoletas e vulneráveis da plataforma, com bugs que já foram corrigidos em versões mais recentes. O próprio Android não possui uma opção de atualização fácil ou obrigatória ou uma interface similar ao já deficiente Microsoft Update. Para complicar o cenário, fabricantes e operadoras, que são responsáveis diretos pela atualização de seus dispositivos em muitos casos, atrasam a aplicação de correções ou simplesmente suspendem o suporte totalmente a dispositivos mais antigos, deixando o usuário final desprotegido. O usuário precisa ser educado a atualizar seu sistema sempre que possível.
2) Lojas de aplicativos não reguladas
Embora nem toda loja de aplicativos terceirizada seja um site de fundo de quintal (as lojas da Amazon e da Samsung estão aí para provar o contrário), é sabido que elas existem em profusão e operam com níveis de segurança risíveis. Quando não são pura e simplesmente uma mal disfarçada porta de entrada para invasões. Existem razões legítimas para utilizar aplicativos e jogos destas lojas não-oficiais ou mesmo fazer o sideload, a instalação de um .APK de origem desconhecida. Mas o usuário precisa estar ciente dos riscos. Se a oferta é boa demais para ser verdade, provavelmente é uma isca para atrair os incautos.
3) A própria Play Store
Nem a própria loja oficial de aplicativos do Google pode ser considerada 100% segura e deve ser considerada uma vulnerabilidade para o setor de TI e para os especialistas de segurança. Embora seja de uma maneira geral muito mais confiável que uma loja terceirizada, ela também tem sua cota de problemas. É muito fácil passar um aplicativo qualquer pelo sistema de aprovação da Play Store. Desde aplicativos que são completamente inúteis até programas que trazem malware embutido, causando prejuízos incalculáveis. No momento, o Google trabalha para aperfeiçoar seus filtros de segurança, mas o próprio usuário deve se manter alerta e entender que a existência de um aplicativo na loja oficial do Android não é sinônimo de segurança.
4) Executar aplicações como Root
Sim, nós publicamos um artigo explicando como ter acesso de root ao seu Android. Mas também frisamos os riscos envolvidos no processo. A instalação de um ROM depois do root substitui a versão original do seu Android por uma versão customizada, que acaba fornecendo autorização de nível de administrador a mais aplicativos do que o Android original. A grosso modo, não é apenas o usuário que tem o mais elevado nível para fazer o que quiser com seu dispositivo, mas também seus aplicativos, alguns de forma automatizada. Um aplicativo malicioso passaria a ter acesso fácil a partes do sistema que ele não teria se não houvesse o root. É necessário que o usuário entenda que o processo não é leviano e pode ter consequências devastadoras para sua segurança.
5) Fragmentação de software e hardware
O Android não só está presente em smartphones e tablets, de diferentes fabricantes, configurações e customizações, como também começa a ser embutido em uma miríade de outros pequenos dispositivos que exigem um sistema operacional interno. Um dos pontos fortes da plataforma é justamente sua flexibilidade para desenvolvedores de hardware e software, que lhe permite ser alterado e fragmentado para se adequar a determinadas necessidades.
Esta mesma flexibilidade é uma faca de dois gumes que gera um indesejado efeito colateral: ela cria novos caminhos para vulnerabilidades que o Android padrão não tem. Agora, não basta apenas se concentrar nos esforços de proteger uma única versão do sistema operacional, mas proteger diversas versões que foram criadas. Bugs e exploits podem estar nascendo nesse exato momento em uma versão customizada, sem que seus criadores saibam. Com o crescimento da Internet das Coisas e o surgimento de dispositivos sem nenhuma habilidade de se atualizar, a própria segurança também corre o risco de ser fragmentada.
6) Tamanho do Android
Com o Android espalhado por diferentes dispositivos e com uma significativa fatia do mercado, é óbvio que ele se torna um alvo maior para pessoas mal intencionadas. Sendo o sistema operacional com a maior base de usuários, ele agora é o alvo número um. Aconteceu com o Windows, está acontecendo com o Android.
7) Google ousa demais
O Google é famoso por estar fazendo testes o tempo todo e nunca estar satisfeito com as versões de seus serviços e programas, enquanto os usuários seguem utilizando acreditando estar operando com versões estáveis. Um grande exemplo dessa mentalidade é o próprio Gmail que ficou em estado beta aberto para o público por cinco anos, antes de ser considerado “final” e ainda assim recebe modificações o tempo todo.
No ambiente Android isso se reflete na adição de novas tecnologias em fase experimental em dispositivos que já estão no mercado. Seja NFC, biométrica ou reconhecimento de voz, o Google está sempre ousando, adicionando funcionalidades que não foram plenamente testadas, que talvez não sejam seguras, que talvez não sejam estáveis ou que talvez o usuário nem tenha interesse, para começo de conversa.
8) Open Source
Talvez o ponto mais preocupante de todos é o fato do Android ser um sistema operacional de código aberto. Esse modelo de desenvolvimento deixa muitas preocupações entre os profissionais de segurança. O modelo open source sofre do fato de cada linha do código-fonte poder ser analisada e dissecada por qualquer um, hackers amadores e profissionais, para identificar vulnerabilidades que seriam obscurecidas em outros modelos. Em contrapartida, a mesma transparência também permite que falhas possam ser corrigidas mais rapidamente por profissionais de segurança. Nessa corrida em busca do bug, perde o usuário, trancado atrás de um sistema de atualização que pode não ser rápido o suficiente.
