A Huawei, companhia chinesa que é a segunda maior fabricante de smartphones do mundo, lançou recentemente a linha de aparelhos Mate 30, a primeira após a sanção comercial por parte do governo dos Estados Unidos, portanto, pela primeira vez, uma linha de smartphones da Huawei foi lançada sem o sistema operacional da Google, o Android.
Os aparelhos foram lançados com o sistema operacional EMUI 10, versão personalizada que é fornecida pela Google com código aberto, o que livra a companhia americana de sanções por parte do governo. No entanto, na prática, isso traz algumas ameaças à segurança e privacidade, uma vez que usuários no Ocidente podem tentar obter o Google Mobile Services (GMS) como aplicativos Android nativos (Gmail, YouTube) no Mate 30.
Inicialmente, a Huawei sugeriu que a área protegida do sistema em seus novos dispositivos seria desbloqueável, de modo que seria relativamente fácil instalar aplicativos móveis do Google via sideload (aplicativos carregados de forma lateral). No entanto, a abertura da área protegida do sistema levaria a uma penetração mais fácil de malware do que em um sistema Android bloqueado. “Os sistemas Android modernos geralmente têm uma área protegida do sistema e uma área do usuário. Os aplicativos da área do sistema têm recursos muito mais sensíveis do que os da área do usuário. Todas as instalações de aplicativos pelo usuário estão operando na área do usuário com acesso limitado a dados confidenciais. Dado isso, observamos que, em sua última resposta à mídia, a Huawei descartou sutilmente a opção de área de sistema desbloqueável”, diz Fernando De Falchi, gerente de engenharia de segurança da Check Point Brasil.
“Isso traz algumas ameaças à segurança e privacidade, uma vez que usuários que desejam obter o Google Mobile Services (GMS) terão que recorrer a lojas de terceiros ou uma ROM personalizada sem passar pelas verificações que a Google impõe aos aplicativos de sua loja oficial”, ressalta Falchi.
Como solução alternativa de curto prazo, os usuários podem optar por instalar aplicativos do Google e outros aplicativos diários de lojas de aplicativos de terceiros. No entanto, os padrões de segurança nestas lojas variam e geralmente são mais baixos em relação às políticas do Google.
“Ao longo dos anos, a Check Point Research descobriu vários ataques em larga escala contra o Android, aproveitando lojas de terceiros como canais de proliferação, como o recente ataque do “Agent Smith”. Os usuários estão potencialmente expostos a riscos de aplicativos falsos e fazem download de malware. Os usuários são aconselhados a escolher lojas conhecidas e respeitáveis, como a Amazon App Store, por exemplo (embora seja importante observar que, por motivos legais, a Amazon não oferece aplicativos do Google). Os usuários também podem optar por acessar o Gmail e o YouTube a partir de páginas da web”, afirma Falchi.
Pelo lado positivo, é possível enviar aplicativos GMS por meio de atualizações OTA (Over-The-Air, atualização disponível no próprio aparelho). Isso significa que, assim que a Huawei receber o certificado de compatibilidade do Google, o fornecedor poderá enviar o GMS a todos os usuários por meio de uma simples atualização do sistema.
