Uma falha dia zero que afetava a segurança de smartphones Android equipados com processadores da Qualcomm foi corrigida em janeiro e divulgada nesta semana pelo Google. Segundo os engenheiros, a falha trazia potencial para “exploração limitada e direcionada”.

Segundo a explicação dos técnicos, a falha intitulada CVE-2020-11261 trazia a “validação imprópria de inserção”, basicamente forçando requisições excessivas, pressionando a memória do aparelho a trabalhar mais e, eventualmente, causando sua corrupção.

Leia mais:

• Android 12: conheça algumas das novidades na segunda prévia do sistema
• Google atualiza Chrome e WebView para corrigir problemas de travamento no Android
• Hacker afirma que ‘megavazamento’ de janeiro não começou no Serasa

Na imagem abaixo, o Google listou, por número de identificação, quais chipsets da Qualcomm são afetados pelo problema.

A falha foi classificada como dia zero no Android por ser do tipo que passa despercebida pelo crivo da qualidade de um fabricante, com o produto indo ao mercado sem que ninguém saiba de sua existência. No caso presente, a CVE-2020-11261 foi relatada pelo Google à Qualcomm em julho de 2020, resolvida em janeiro de 2021 e divulgada agora.

Exploração local

A boa notícia é que essa falha só teria proveito se fosse explorada de forma local. Em outras palavras, um usuário teria que acessar fisicamente o aparelho de um alvo, ao contrário de muitos outros bugs de segurança que podem ser remotamente acessados pela internet.

O Google indicou que existe a possibilidade de que a falha venha sendo utilizada por algumas pessoas, mas não ofereceu detalhes sobre a natureza dos ataques ou a identidade de possíveis maus atores.

A recomendação para contornar esse problema é a de manter sempre o sistema operacional do celular e aplicativos atualizados. Costumeiramente, o próprio Google lança atualizações de segurança para o Android, que a empresa afirma serem a primeira camada de proteção contra malwares e invasões físicas.

Fonte: Google