Celulares com aplicativos instalados de fábrica podem deixá-lo exposto a mais falhas de segurança do que um smartphone “limpo”. É a conclusão de um estudo divulgado pela Wired e financiado pelo Departamento de Defesa dos Estados Unidos.
A empresa de segurança mobile Kryptowire vasculhou smartphones Android das marcas Asus, LG, Essential e ZTE (estas duas últimas não atuam no Brasil) em busca de falhas de segurança provenientes de aplicativos pré-instalados, o famoso bloatware.
A gravidade das falhas muda de caso a caso, mas, segundo Angelos Stavrou, CEO da Kryptowire, a maioria tem a ver com bugs no firmware causados por apps e jogos, muitas vezes inúteis ou redundantes, que foram instalados em algum ponto da linha de produção, na fábrica ou na loja que vendeu o aparelho.
Um caso citado no estudo é o do ZenFone V Live, da Asus, que não é vendido no Brasil. Segundo a Kryptowire, o aparelho tem brechas que permitem a um hacker tomar controle do sistema inteiro remotamente, incluindo capturas de tela chamadas, mensagens de texto e muito mais.
Outro caso é o do LG G6, cujas vulnerabilidades podem expor os registros do Logcat, ferramenta de linha de comando do Android, ou bloquear o smartphone e trancar o usuário para fora. No caso do Essential Phone, as falhas permitem limpar o sistema e fazer uma restauração de fábrica à distância.
Na maioria dos casos, o usuário precisa instalar um aplicativo malicioso, propositalmente ou não, que se aproveitaria das brechas. Mas, de acordo com a Kryptowire, muitas dessas falhas deixadas por bloatware podem ser exploradas sem que o usuário perceba. É o caso de um celular da ZTE chamado Blade Spark.
Hackers podem ter acesso a diversas funções do aparelho, como câmera e GPS, sem pedir permissão ao usuário. De acordo com a Kryptowire, esse tipo de brecha pode ser encontrado em “milhões” de smartphones vendidos nos EUA e, potencialmente, em outras partes do mundo que usam os mesmos bloatwares.
Asus, LG, Essential e ZTE emitiram comunicados à Wired informando que a maioria das falhas, se não todas, citadas pelo estudo da Kryptowire, já foram corrigidas ou serão em futuras atualizações de segurança.