Por que os patches de segurança nem sempre são tão críticos quanto você imagina

A vida útil das atualizações do Android e dos patches de segurança está aumentando, mas não de forma generalizada. Marcas menos populares como Motorola e Unihertz não atendem aos principais planos de sete anos, fornecendo apenas alguns anos de patches de segurança. Se você considerar a palavra frenética da mídia social, qualquer telefone sem o patch de segurança de ontem merece ser destruído, colocando sua conta bancária, identidade e possivelmente seus rins em risco.




O que são as implicações no mundo real do fim das atualizações de segurança em nível de OEM? Os consumidores sofrerão consequências ou a preocupação deriva principalmente do medo, da incerteza e da dúvida? Apesar de inúmeros entusiastas pregarem seus perigos, os telefones que já passaram do patch de segurança não são tão perigosos quanto muitos acreditam. Existem outras maneiras de manter seus sistemas seguros.

Relacionado

Os carros-chefe do Android de 2024 durarão realmente sete anos?

Como os pesos pesados ​​do Android prometem suporte de software mais longo, com que facilidade podemos esperar que nosso hardware envelheça?


Por que os patches de segurança nem sempre são tão críticos

As explorações corrigidas pelos patches de segurança atuais raramente representam uma ameaça significativa, desde que não façamos algo estúpido. Correndo o risco de irritar o contingente de fãs de smartphones que juram que nunca usariam um aplicativo bancário em um Motorola de quatro anos, descreverei por que a falta de patches de segurança contínuos não afetará você.


Para obter algumas informações do setor, entrei em contato com Steven Athwal, CEO e fundador da The Big Phone Store, uma das lojas de telefones reformadas internas mais populares do Reino Unido. Sua empresa depende do conhecimento em primeira mão de como os dispositivos se tornam vulneráveis, o que acontece quando são comprometidos e como evitar problemas. Athwal ficou feliz em compartilhar suas conclusões em primeira mão enquanto relembrava quando os patches atualizados eram mais importantes.

Primeiro, você provavelmente não é muito importante

Alguns usuários precisam se limitar a telefones com patches ativos de fabricantes que fornecem suporte oportuno. Por exemplo, prestadores de serviços governamentais, profissionais de saúde e trabalhadores com acesso a segredos comerciais provavelmente podem desconsiderar a maior parte do que você está prestes a ler. No entanto, seus empregadores deixarão esse fato claro e a maioria das pessoas não corre o mesmo risco.

Relacionado

Quero acreditar na promessa de suporte estendido da Motorola, mas já me queimei muitas vezes

Nunca sabemos o que vai acontecer


Se você não estiver em uma categoria como as descritas acima, não será vítima das mais temíveis falhas de segurança. As explorações mais destrutivas normalmente não podem ser direcionadas a milhões de usuários simultaneamente. Em vez disso, os hackers têm como alvo apenas indivíduos que valem a pena fraudar. Provavelmente não é você. Tenho 27 euros na conta fintech vinculada ao meu telefone neste momento, então também não sou eu.

Muitas explorações exigem acesso a dispositivos físicos

Cuidado com espiões trocando seu telefone por uma cópia idêntica e comprometida. Não deixe que as pessoas o conectem a máquinas estranhas. Não o desbloqueie para agentes da Patrulha de Fronteira ao entrar nos EUA (desative a biometria primeiro, ou eles forçarão você a usá-la). Desistir do acesso físico requer negligência significativa.

Existem explorações remotas. Como apontou o CEO Athwal, “o Windows tinha um problema chamado BlueKeep, que permitia a execução remota de código sem qualquer interação do usuário. Mas explorações como essa são incrivelmente raras, especialmente em telefones, e os usuários comuns normalmente não são os alvos principais”.


Relacionado

4 dicas para evitar que suas câmeras domésticas inteligentes exponham dados confidenciais

Certifique-se de que ninguém olhará na sua sala além de você

Exploits corrigidos muitas vezes nunca eram usados

O Project Zero do Google encontrou um dos conjuntos de exploits mais temíveis e difundidos no início de 2018. Era tão assustador que eles nunca foram usados ​​e todos os esqueceram. Athwal teve que me lembrar (um cara que construiu um PC desktop e surtou quando eles foram encontrados) que Spectre e Meltdown existem.

Eles foram corrigidos rapidamente, o que diminuiu o desempenho, mas ninguém foi vítima. Athwal também explicou: “Estes poderiam expor você abertamente a atividades maliciosas, mas somente se o invasor tiver acesso direto ao seu dispositivo e convencê-lo a instalar um software tão intrusivo que altera a maneira como sua CPU lida com o código.”

Você já deve saber como evitar phishing

Um personagem do The Sims com uma vara de pescar


Não seja pego.

Bancos, repartições governamentais, serviços de streaming e outras organizações com suas informações pessoais ou de pagamento nunca solicitarão que você envie detalhes de login ou pagamento por e-mail, texto ou outros tipos de mensagem. Se você receber uma mensagem solicitando que você faça login e corrija algo, não siga o link fornecido. Acesse você mesmo por meio do aplicativo ou navegador para inserir os detalhes.

Da mesma forma, se alguém ligar para você pedindo para confirmar seus dados pessoais, desligue e ligue para o número da instituição para saber se há algum problema.

Software fraudulento é facilmente evitado

É possível baixar malware da Google Play Store. Com a devida diligência, não é provável. Aplicativos populares são difíceis de falsificar, e softwares com quase zero downloads devem levantar uma bandeira vermelha.

O carregamento lateral é uma história diferente, mas ainda não é inerentemente desastroso. Aderir a fontes de desenvolvedores confiáveis ​​é um grande passo. Muitos oferecem links para verificação de código aberto ou revisões de código que provam que são o que dizem ser. É importante prestar atenção especial ao carregar aplicativos lateralmente. Se você carrega aplicativos lateralmente, provavelmente é mais experiente do que o usuário médio e sabe que está em alerta máximo.


Relacionado

O que é a segurança da camada de mensagens do Google?

MLS oferecerá melhor criptografia para bate-papos em grupo

Você deve evitar aplicativos nefastos que dão acesso a conteúdo pirata ou violam leis (algo que os leitores do Android Police nunca fariam). Isso pode levá-lo a uma situação difícil.

O Android está mais seguro do que nunca

Talvez eu não tivesse feito esse apelo há dez anos. A plataforma fez avanços significativos na correção de inúmeras falhas e na redução sistemática do risco de explorações recém-descobertas. Alguns argumentam que o Android pode ser mais seguro que o iOS (embora isso não seja fácil de quantificar e provar).

Mesmo que o seu dispositivo não receba um patch há dois anos, ele está protegido contra explorações incalculáveis. Em hacks potencialmente remotos e sem cliques, como o exploit Stagefright de 2015, até mesmo dispositivos antigos podem ser corrigidos bem depois de atingirem o fim da vida útil.


Protegendo seus dispositivos, em todos os casos

A maioria dos hacks depende de você estragar tudo

Uma renderização de uma CPU dourada em uma placa-mãe com um logotipo de cadeado na parte superior

Fonte: Samsung

É a primeira coisa que Athwal mencionou (e eu concordei imediatamente): “As ameaças à segurança geralmente vêm de erro humano, como clicar em links duvidosos ou compartilhar informações pessoais sem pensar”.

Além disso, tome cuidado ao confiar em serviços supostamente criptografados. A criptografia do cliente de um aplicativo de mensagens aparentemente seguro, seu servidor, seu proprietário ou o destinatário da mensagem podem ser pontos de ataque. Se você baixar aplicativos desconhecidos ou acessar sites duvidosos, seus hábitos de navegação podem expor sua identidade, expondo você a malware, segmentação e interceptação de dados.

Relacionado

O Telegram nunca foi ‘focado na privacidade’, mas enganou muita gente

Ninguém está te observando, de qualquer maneira. Talvez


Mantenha o Google Play Services e todos os seus aplicativos atualizados

Atualizar a estrutura que controla a operação do aplicativo não corrigirá as mesmas falhas de nível básico que um patch de segurança completo do sistema. Ainda assim, muitas vezes faz o suficiente para evitar que pacotes maliciosos elevem privilégios e acessem outros aplicativos ou dados que não deveriam. Athwal concorda, explicando: “Atualizar aplicativos (não apenas seu sistema operacional) é fundamental, pois os aplicativos são um importante ponto de entrada de segurança”. Manter todas as atualizações possíveis atualizadas faz uma enorme diferença na segurança do dia a dia.

Patches ajudam, mas não são tudo

Finalmente, Athwal ofereceu alguns conselhos filosóficos do mundo real. “Oferecer atualizações frequentes é ótimo, mas também pode dar aos usuários uma falsa sensação de segurança. Marcas que não oferecem muitas atualizações podem forçar os usuários a adotar melhores práticas gerais de segurança”.

É aqui que o terrível discurso da Internet pode entrar em cena. Fazer um acordo massivo e que acabe com o mundo com dois ou quatro anos de patches de segurança não apenas perde o foco, mas pode implicar para os espectadores que os patches de segurança o tornam completamente seguro. Eles não. Você ainda precisa de sua própria diligência.


Relacionado

8 recursos essenciais de segurança do Android 15 que você deve configurar imediatamente

Fique seguro em um mundo digital: o Android 15 protege você

Patches de segurança que se danem, todos devem permanecer diligentes

A questão é: não surte

Não estou de forma alguma argumentando que você deva ignorar a importância dos patches de segurança. Mesmo quando eles quebram coisas, como uma atualização incompleta do iOS 12.1.1 que desativa temporariamente os dados móveis (outro incidente do qual Athwal me lembrou), eles são corrigidos em pouco tempo. No entanto, isso justifica a possibilidade de esperar alguns dias antes de atualizar a segurança do sistema.

“Meu telefone tem nove anos e nunca tive problemas” é uma justificativa terrível para ignorar as práticas de segurança do fabricante ou de alguém. Não acredite apenas na palavra de uma pessoa. Vá lá e pesquise diligentemente por exemplos do mundo real de explorações remotas que inevitavelmente comprometeram o telefone normal de um Joe para roubar seu dinheiro, número de seguro social ou NFT de macaco bebedor de martini.


Você não encontrará muitos, se houver, e seu telefone de 2019 não levará a tal hack, a menos que você não siga as diretrizes de software e navegação de bom senso. Até mesmo seu aplicativo bancário funcionará com segurança, sem necessidade de root, flashing do LineageOS ou desvio da API Play Integrity. Você não precisa de mais preocupação e estresse por algo que não é um problema para a maioria das pessoas.