0
0
O Google revelou novas mitigações de segurança celular que estarão disponíveis para usuários e empresas em seu Android 14, que será lançado em breve, e anunciou um novo cronograma de lançamento para atualizações do canal Chrome Stable.
Aumentando a segurança de rede no Android 14
Embora o serviço 2G tenha sido desativado pela maioria das principais operadoras de rede, muitos dispositivos ainda conseguem se conectar a redes celulares 2G cada vez menores.
“Isso ocorre automaticamente quando 2G é a única rede disponível, mas também pode ser acionado remotamente em um ataque malicioso, induzindo silenciosamente os dispositivos a fazer o downgrade para conectividade somente 2G e, portanto, ignorando qualquer rede que não seja 2G”, observou o Google.
Tal capacidade pode tornar os dispositivos suscetíveis a vários tipos de ataques, incluindo ataques Stingray .
“Stingrays são ferramentas de vigilância e interceptação obscuras, mas muito poderosas, que foram aproveitadas em vários cenários, desde o potencial carregamento de malware Pegasus em telefones de jornalistas até um sofisticado esquema de phishing que supostamente afetou centenas de milhares de usuários com uma única [estação base falsa], ” Explicou o Google .
“Este ataque de fraude baseado em Stingray, que provavelmente rebaixou as conexões do dispositivo para 2G para injetar cargas úteis de SMS, destacou os riscos da conectividade 2G.”
Com o lançamento do Android 14 em breve, o Google permitirá que os administradores e usuários de TI desativem o suporte 2G em dispositivos gerenciados e pessoais, respectivamente.
Para segurança celular adicional, o Google anunciou uma opção que permite aos usuários desabilitar o suporte para cifras nulas celulares , que ainda são comumente usadas por redes comerciais e podem expor o tráfego de voz e SMS do usuário à interceptação.
“Alguns Stingrays comerciais fornecem funcionalidade para induzir os dispositivos a acreditar que a cifragem não é suportada pela rede, diminuindo assim a conexão para uma cifra nula e permitindo a interceptação de tráfego”, acrescentou a empresa.
A opção que desativa o suporte a cifras nulas de celular estará disponível para dispositivos que adotam a mais recente camada de abstração de hardware de rádio (HAL). Os usuários ainda poderão fazer chamadas de emergência por meio de uma conexão não codificada.
Acelerando as atualizações de segurança do Chrome
Como o Chromium é um projeto de código aberto, o código-fonte está disponível para que todos possam revisar ou enviar alterações. Embora isso possa ser útil (testar correções, descobrir bugs), também pode ajudar os agentes de ameaças a criar explorações que podem prejudicar os usuários que ainda não receberam a versão corrigida.
Com a introdução do Chrome 116, as atualizações do canal Stable estarão disponíveis para os usuários semanalmente.
“O Chrome começou a lançar atualizações do canal Stable a cada duas semanas em 2020, com o Chrome 77, como uma forma de ajudar a reduzir a lacuna de patch. Antes do Chrome 77, nossa lacuna de patch era em média de 35 dias. Desde que mudou a cadência de lançamento quinzenal, a lacuna do patch foi reduzida para cerca de 15 dias. A mudança para atualizações semanais nos permite enviar correções de segurança ainda mais rapidamente e reduzir ainda mais a lacuna de patches”, observou Amy Ressler, gerente de programa técnico sênior da equipe de segurança do Chrome.
Dessa forma, as correções de segurança serão enviadas 3,5 dias antes, ajudando a reduzir os ataques de n dias .
Os usuários simplesmente precisam revisar as notificações em seus computadores ou dispositivos móveis que anunciam uma atualização do Chrome acessível e executar a atualização imediatamente.
FONTE: HELP NET SECURITY