O Google passou mais de um ano consciente de uma falha grave na criptografia do sistema operacional do Android antes de lançar uma atualização para consertá-la, de acordo com a Qualcomm. A falha afetada dispositivos com o sistema operacional do Google que usavam processadores da Qualcomm.
Gal Beniamini, um pesquisador de segurança digital, revelou as falhas de segurança em seu blog, e foi pago pelo Google por meio de seu program de recompensa. O aspecto central do problema é que os dispositivos Android com processadores Qualcomm guardam suas chaves de criptografia no software, e não no hardware. Os detalhes da falha podem ser lidos no blog do pesquisador.
No entanto, a Qualcomm disse ao TechCrunch que já tinha informado o Google sobre as falhas descritar por Beniamini desde agosto de 2014. A Qualcomm ainda alegou ter enviado ao Google atualizações que poderiam corrigir o erro em novembro de 2014 e fevereiro de 2015.
As atualizações do Google para o Android, no entanto, só foram lançadas a partir do começo de 2016. Foi apenas por conta desse atraso que Beniamini conseguiu reportar novamente as mesmas falhas que a Qualcomm já havia reportado.
Milhares de aparelhos
O motivo pelo qual o Google levou tanto tempo para resolver o problema não ficou claro. O TechCrunch especula que a empresa só conseguiu perceber de fato como a falha apontada pela Qualcomm poderia ser explorada por hackers após Beniamini realizar a sua demonstração.
Outra possibilidade para o atraso seria a enorme variedade de aparelhos e fabricantes que utilizam o sistema operacional da empresa. Essa variedade faz com que haja diferenças na implementação do Android por parte de cada fabricante, o que faz com que a empresa leve mais tempo para criar uma correção que atenda a todos.
Essa variedade também faz com que o Google tenha uma abordagem diferente sobre segurança. A empresa pretende usar inteligência artificial para melhorar sua detecção de falhas de segurança, e por isso usa soluções de segurança baseada em software. Medida de segurança baseadas em hardware poderiam proteger mais diretamente seus dispositivos, mas dificultariam a vida das empresas que usam seu sistema.