Como de costume, a atualização mensal do Google para Android inclui dois patches que ficam imediatamente disponíveis para os dispositivos Pixel e também foram compartilhados com outros fabricantes usuários do sistema operacional mobile, para que as correções sejam distribuídas.
A versão 2019-04-01 inclui correções para duas falhas críticas de execução de código remoto. Elas afetam a estrutura de mídia, a biblioteca de mídia do Android, que recebeu mais atenção depois que os bugs de Stagefright de 2015 afetaram praticamente todos os dispositivos Android e pressionou o software a fornecer patches de segurança com mais rapidez e regularidade.
Os bugs da estrutura de mídia afetam o Android 7 ou superiores e “podem permitir que um invasor remoto use um arquivo, especialmente criado para executar código arbitrário, dentro do contexto de um processo privilegiado”, de acordo com o boletim do Google.
A Samsung pontuou que sua atualização de segurança de abril inclui correções para os mesmos dois erros da estrutura de mídia, CVE-2019-2027 e CVE-2019-2028. O patch está disponível para os principais telefones da linha Galaxy, da Samsung. A Huawei também está oferecendo as correções da estrutura de mídia do Google.
As nove falhas restantes são problemas de divulgação de privilégios e de informações que afetam o Android. A pior delas permitiria que um aplicativo malicioso instalado “executasse código arbitrário dentro do contexto de um acesso privilegiado”.
O segundo nível de patch aborda quatro falhas no próprio Android. Isso inclui um erro crítico de execução remota de código, além de dezenas de problemas que afetam os componentes da Qualcomm.
O Google destacou nesta semana, em seu relatório de segurança do Android 2018, que o patch de seus próprios dispositivos Pixel é um enorme sucesso. No final do ano passado, mais de 95% de todos os celulares Pixel 3 e Pixel 3 XL estavam executando uma atualização de segurança dos últimos 90 dias.
A empresa também observa que trabalhou com fabricantes de dispositivos, operadoras de redes móveis e fornecedores de sistemas conectados a chips para aumentar o número de dispositivos Android que recebem atualizações de segurança regulares. O Google diz que, no quarto trimestre de 2018, havia “84% mais dispositivos Android recebendo um update de segurança do que no mesmo período do ano anterior”.
A companhia também ajudanda os fabricantes de dispositivos Android a usar uma ferramenta chamada SnoopSnitch. Desevolvida pela Security Research Labs, os pesquisadores a empregam para descobrir se os dispositivos das principais marcas estão usando ou não o patch mais recente.
A empresa descobriu que até mesmo fornecedores conhecidos como HTC, Huawei, LG e Motorola estão perdendo, em média, de três a quatro patches de cada nível, deixando os consumidores mal informados sobre o estado de segurança de seus dispositivos.