50 mi de Androids estariam vulneráveis ao bug Heartbleed, diz jornal

Apesar de a falha Heartbleed já ter sido corrigida em quase todos os serviços e produtos do Google, ainda há um “braço” da empresa que precisa de atenção: o do Android. Segundo um post no blog de segurança da empresa, a versão 4.1.1 do SO móvel foi afetada pela brecha – e uma pesquisa divulgada nesta semana pelo The Guardian mostra que há cerca de 50 milhões de aparelhos pelo mundo que ainda rodam essa edição do sistema operacional.

O número foi calculado a partir de um levantamento feito pela Chitika. A companhia de análise conseguiu, aparentemente, separar a porcentagem de dispositivos que usam o Android 4.1.1 dos que rodam o 4.1.2. Eles são mostrados nos dados do Google sempre em só pedaço, referente ao 4.1.

A estimativa é até condizente com o que o próprio Google divulgou. Segundo disse a empresa, “menos de 10%” dos smartphones e tablets ativados ao redor do planeta foram afetados. Essa porcentagem resulta em um número até maior do que os 50 milhões apontados pelo jornal: se levarmos em conta que já há mais de 900 milhões de dispositivos Android funcionando pelo mundo, o total de aparelhos poderia bater os 90 milhões.

De acordo com o Guardian, os aparelhos estariam vulneráveis a uma espécie de “Heartbleed reverso”, que, como o nome sugere, inverte o funcionamento do Heartbleed. Ou seja, um servidor malicioso é quem pede as informações a um cliente – no caso, um smartphone. O alvo prioritário seria o navegador do dispositivo, onde as informações costumam ser digitadas.

A estratégia é um tanto mais complexa do que a padrão, no entanto: como explicou Marc Rogers, da Lookout, ao Ars Technica, um invasor precisaria injetar algum tipo de tráfego malicioso em uma aba ou no browser como um todo, na esperança de tentar “pescar” algum dado. Para isso, bastaria ao criminoso “atrair o usuário ao um website-armadilha que contenha um ‘cross-site request forgery’”, falha que faria com que a página de um banco, por exemplo, fosse carregada em uma aba ao lado.

Por sorte, como lembrou o Ars e como já mencionou o Google, o sistema do Android faz com que apps rodem isolados uns dos outros, impedindo que a quebra de segurança no navegador atinja outros aplicativos. Mas ainda assim, outro problema persiste.

Apps vulneráveis – Até o começo desta semana, o mensageiro BBM, da BlackBerry, se mostrava vulnerável ao Heartbleed, independente do sistema operacional móvel em que estivesse instalado. A vulnerabilidade aparecia na “arquitetura de conexão, que faz o serviço se conectar apenas a um ‘end point’ conhecido e confiável” – e a correção só deve ser lançada nesta próxima sexta-feira, conforme informou a BB à Reuters.

Flickr e Tumblr, ambos do Yahoo!, foram outros aplicativos afetados pela brecha: como funcionam como os serviços, também usavam uma versão problemática do OpenSSL para proteger o tráfego de dados. O Facebook também pode ter sido afetado pelo mesmo motivo, e vários outros sofreram com a brecha de diferentes formas – atingindo, ainda que indiretamente, outros sistemas, como o iOS. 

Prevenção – Para checar quais programas em seu smartphone Android estão incluídos na lista de afetados, rode o Heartbleed Scanner. O aplicativo foi feito pela Bluebox, companhia que desenvolve outras soluções de segurança para Android, e precisa de apenas alguns segundos para determinar qual versão de OpenSSL é usada pelos apps – caso usem, é claro. A aplicação, aliás, não exige permissões ao ser baixada, o que é um ponto positivo e dá certa confiança ao utizlizá-la.

Para outros sistemas, vale checar a lista do DigitalTrends, que menciona software para iOS e WP8 e segue sendo atualizada conforme updates são liberados pelas companhias. Enquanto eles não chegam, vale deixar os programas de lado por um tempo.

Em relação ao sistema operacional do Google, não há muito que um usuário possa fazer além de evitar digitar dados sigilosos nos aparelhos afetados enquanto a brecha seguir aberta. No próprio blog de segurança, a empresa afirmou que as informações para corrigir a brecha na versão 4.1.1 do SO “estão sendo distribuídas entre os parceiros do Android”.

Assim, é de se esperar que updates de segurança sejam disponibilizados em breve – embora essa decisão fique, por vezes, a cabo das operadoras, que não têm um histórico muito bom nesse quesito. Se quiser verificar se a correção foi aplicada ou se seu aparelho está vulnerável, vale baixar o Heartbleed Security Scanner, desenvolvido pela Lookout. O aplicativo confere a versão de OpenSSL usada na versão do SO e a presença da função heartbeat, responsável pela falha. Se a primeira for detectada, mas a segunda não, não se preocupe: o aparelho deve estar seguro.