Google para de fornecer atualizações para Android Jelly Bean e versões inferiores para o componente Webview

900+ milhões de usuários deixados na mão enquanto o Google diz que parou de fornecer patches de segurança para o componente Webview no Android 4.3 Jellybean e versões anteriores

Triste, mas verdade. Se você é uma daquelas pessoas que usam o sistema operacional Android 4.3 e versões inferiores em seu smartphone e está esperando que o Google corrija a vulnerabilidade da Política de Mesma Origem (SOP) do Android, bem, você não vai conseguir isso do Google.

A falha de SOP legada do Android, que foi descoberta por Rafay Baloch, um pesquisador de segurança paquistanês, afeta o componente webview do navegador padrão do Android, que é enviado com cerca de 930.000 smartphones que operam no Android 4.3 Jelly Bean e versões anteriores.

A vulnerabilidade no componente WebView ocorre ao substituir o atributo ‘data’ de um determinado objeto HTML por um esquema de URL JavaScript. Um potencial hacker poderia explorar a falha UXSS para extrair dados de cookies e conteúdos de páginas de uma janela de navegador vulnerável.

A falha de segurança pode ser explorada em todas as versões do navegador Android Open Source Platform (AOSP), também conhecido como navegador padrão ou stock do Android. A vulnerabilidade existe apenas no Android OS 4.3 Jellybean e versões inferiores.

Joe Vennix da Rapid7 e Rafay colaboraram para criar um código Metasploit para essa vulnerabilidade, para que o Google e outros fabricantes de smartphones pudessem corrigir a falha.

No entanto, nenhum patch está a caminho. Enquanto isso, os Trend Micro Labs descobriram que o código Metasploit estava sendo explorado na prática para sequestrar contas do Facebook de usuários que tinham smartphones rodando Android 4.3 Jellybean e versões inferiores.

Agora a Rapid7 entrou em contato com o Google para corrigir essa vulnerabilidade crítica e recebeu uma resposta chocante do Google. O Google parou de fornecer patches de segurança para Android 4.3 Jelly Bean e versões inferiores. Esta foi a resposta que um pesquisador de segurança da Metasploit recebeu do Google.

“Se a versão afetada [do WebView] for anterior a 4.4, geralmente não desenvolvemos os patches nós mesmos, mas aceitamos patches com o relatório para consideração. Além de notificar os OEMs, não poderemos tomar nenhuma ação sobre qualquer relatório que afete versões anteriores a 4.4 que não sejam acompanhadas de um patch.”

O surpreendido pesquisador de segurança, Tod Beardsley da comunidade Rapid7 Metasploit, relatou no blog.

“Então, o Google não vai mais fornecer patches para 4.3. Esta é uma notícia que levanta sobrancelhas.” ele acrescentou, “Nunca vi um programa de resposta a vulnerabilidades que dependesse do repórter fornecer seu próprio patch, mas essa parece ser a posição do Google. Essa mudança na política de segurança parecia tão bizarra, de fato, que eu não conseguia acreditar que era realmente uma política oficial do Google.”

Para confirmar seu choque, Tod seguiu com a segurança do Google e obteve uma resposta semelhante da equipe de segurança do Google.

Se a versão afetada [do WebView] for anterior a 4.4, geralmente não desenvolvemos os patches nós mesmos, mas notificamos os parceiros sobre o problema[…] Se os patches forem fornecidos com o relatório ou colocados no AOSP, ficamos felizes em fornecê-los aos parceiros também.

Parece que o Google parou de fornecer suporte apenas para o componente Webview de versões antigas do Android, porque quando Tod perguntou mais, foi informado que “a equipe de segurança do Android confirmou que outros componentes anteriores ao KitKat, como os reprodutores de mídia, continuarão a receber patches retroativos.”

O problema é que até agora, apenas o componente Webview de versões anteriores do Android foi encontrado vulnerável e, como provado pelos Trend Micro Labs, está sendo explorado na prática. Este é o componente que deve ser corrigido em todas as versões o mais rápido possível, para que os usuários de smartphones Android não sejam explorados devido à vulnerabilidade SOP.

Isso também significa que cerca de 930 milhões de smartphones por aí estão esperando para serem explorados por hackers e cibercriminosos potenciais. De acordo com os últimos números de distribuição do Android do Google, 46 por cento dos dispositivos Android rodam Jelly Bean, seguidos pelo KitKat com 39,1 por cento. Os restantes usuários do Android estão no Gingerbread (versões 2.3.3-2.3.7, usados por 7,8 por cento dos dispositivos), Ice Cream Sandwich (versões 4.0.3 a 4.0.4, usados por 6,7 por cento) e o antigo Froyo (versão 2.2, 0,4 por cento).

Tod Beardsley afirmou que essa é a decisão mais “bizarra” do Google.

Os fabricantes de smartphones que comercializaram esses smartphones nos anos anteriores não estão mais interessados em fornecer patches/suporte a essas versões. Então, quem irá fornecer patches para essa vulnerabilidade crítica e proteger milhões de usuários de smartphones Android que têm Android 4.3 e versões inferiores em seus telefones, é um mistério.