Uma nova falha em aparelhos Android pode forçar os usuários mais preocupados com a segurança de suas informações a trocar de celular. A vulnerabilidade permite quebrar a criptografia de disco do sistema com ataques de força bruta e não pode ser simplesmente resolvida com uma atualização de software.
O ataque, descoberto pelo especialista em segurança Gal Benjamini, permite driblar a criptografia RSA de 2048 bits por meio de um ataque de força bruta. Isso significa usar um software que usa várias combinações diferentes de senha até encontrar a correta para quebrar a segurança de um sistema.
Normalmente, um sistema RSA de 2048 bits seria altamente seguro e tornaria este tipo de ataque praticamente inútil por ser necessário um número tão grande de tentativas que o tempo necessário tornaria a tática inviável. No entanto, uma brecha em sistemas de segurança nos chips da Qualcomm, misturada com problemas no núcleo do Android, permite a extração das chaves.
O que isso significa na prática? A criptografia de disco do Android é uma garantia de que os dados no sistema sejam acessíveis apenas pelo usuário. Se uma outra pessoa tiver acesso físico ao celular criptografado (seja roubando ou achando perdido em algum lugar), seria muito difícil ter acesso aos dados guardados ali dentro, o que pode incluir contatos, fotos, senhas, informações bancárias e todo tipo de informação sensível. Pelo menos na teoria. Com essa brecha, fica muito mais fácil ter acesso a esses dados.
A ferramenta de criptografia de disco é um recurso do Android há muito tempo. No entanto, o Google decidiu transformá-la em padrão a partir do Android 5.0 (Lollipop), indicando que cerca de 45% da base de usuários pode ter essa proteção ativada como padrão quebrada (os outros 55%, em sua maioria, não deve tê-la ativada, o que significa que também estão desprotegidos).
O pesquisador já está trabalhando com o Google e com a Qualcomm para tentar resolver os problemas, mas faz a ressalva de que uma parte dos reparos só seria possível com uma troca de hardware, o que não é algo factível em smartphones.
Se há algum ponto positivo nesta história, é o fato de que apenas especialistas sabem como operar o ataque, e é necessário ter o aparelho em mãos para realizá-lo. No entanto, isso mostra que a criptografia de disco no Android talvez não seja a panaceia da segurança que o Google alardeou.
Mesmo no iOS, a criptografia de disco tem problemas; recentemente, a quebra desta segurança na plataforma da Apple tornou-se um caso de comoção mundial sobre o dever da empresa em quebrar ou não a segurança de seu próprio sistema para ajudar o FBI em um caso de terrorismo. No fim das contas, o FBI pagou para hackers destravarem o aparelho, e a segurança foi quebrada com sucesso.