Karsten Nohl e Jakob Lell são os pesquisadores da SRL que conduziram a investigação. Eles usaram engenharia reversa e outras técnicas durante dois anos para analisar os firmwares de 1.200 smartphones de mais de dez marcas, incluindo Samsung, Motorola, HTC, Xiaomi e ZTE. A linha Pixel, do Google, também foi testada.
Mais detalhes a respeito do assunto, incluindo modelos afetados, devem ser liberados na conferência sobre segurança Hack in the Box, marcada para esta sexta-feira (13). Mas os pesquisadores adiantaram à Wired que, em muitos casos, os fabricantes informam na descrição do update que o aparelho está recebendo correções liberadas em determinado período quando, na verdade, muitas delas inexistem. Embora com menor frequência, a SRL também afirma ter encontrado dispositivos que não receberam atualizações. Nesses casos, os fabricantes teriam simplesmente adiado a data de entrega do pacote. Tendo como base de comparação aparelhos que receberam pelo menos um pacote de atualizações em outubro de 2017 ou depois, a SRL afirma que o problema é mais frequente em dispositivos de marcas chinesas, mas unidades de companhias renomadas, como Samsung e o próprio Google, também deixam de receber determinadas atualizações:
Média de quatro ou mais patches faltantes: TCL e ZTEDe três ou quatro: HTC, Huawei, LG e MotorolaDe um a três: Xiaomi, OnePlus, NokiaDe zero a um: Google, Sony, Samsung e Wiko
Os pesquisadores também afirmam que celulares com chips da Samsung têm menos patches faltantes. No outro extremo estão unidades com processadores da MediaTek:
Samsung: média de 0,5 patches faltantesQualcomm: 1,1HiSilicon: 1,9MediaTek: 9,7
De modo geral, dispositivos mais baratos são os mais negligenciados. Dando um exemplo, a SRL afirma que, enquanto o Galaxy J5 2016 relata corretamente todas as correções instaladas, no Galaxy J3 2016 há informação de que patches lançados em 2017 foram todos disponibilizados, quando 12 estão faltando, dois deles considerados críticos. Procurada pela Wired, o Google explicou que muitos dos aparelhos analisados pela SRL não possuem certificação do Android, o que significa que essas unidades não estão sujeitas aos padrões de segurança estabelecidos pela companhia. O Google também afirmou que smartphones mais recentes têm recursos de segurança que dificultam invasões mesmo quando há brechas não corrigidas e que, em alguns casos, patches estão faltando simplesmente porque o fabricante decidiu remover o recurso vulnerável em vez de corrigí-lo. A companhia admite, no entanto, que a pesquisa da SRL é importante e que mais análises além daquelas que são realizadas por padrão podem ser necessárias. Convém esperar o Hack in the Box para que a extensão do problema seja conhecida. Para quem quiser descobrir a situação do seu smartphone, a SRL disponibilizou o aplicativo SnoopSnitch, que analisa o firmware do aparelho para encontrar correções instaladas e ausentes.
