Falhas de segurança afectam milhões de telemóveis e computadores — quem é afectado e o que fazer
Processadores fabricados nos últimos 20 anos têm vulnerabilidades que podem ser exploradas por atacantes.
Foram descobertas falhas de segurança nos processadores da Intel, da AMD e da ARM, as grandes empresas do sector, cujos chips equipam todo o tipo de aparelhos. O problema, que existe há anos, afecta telemóveis, computadores pessoais e também servidores de grandes empresas. O alerta foi dado de forma discreta por especialistas há alguns meses e, desde então, empresas como a Microsoft e a Apple têm estado a trabalhar para actualizar os respectivos sistemas.
A verdade faz-nos mais fortes
Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.
Foram descobertas falhas de segurança nos processadores da Intel, da AMD e da ARM, as grandes empresas do sector, cujos chips equipam todo o tipo de aparelhos. O problema, que existe há anos, afecta telemóveis, computadores pessoais e também servidores de grandes empresas. O alerta foi dado de forma discreta por especialistas há alguns meses e, desde então, empresas como a Microsoft e a Apple têm estado a trabalhar para actualizar os respectivos sistemas.
Quem é afectado?
Uma das vulnerabilidades descobertas chama-se Meltdown e, tanto quanto se sabe, afecta a grande maioria dos processadores da Intel produzidos ao longo das últimas duas décadas. A outra chama-se Spectre e afecta tanto processadores da Intel, como da AMD e da ARM. Os processadores ARM são sobretudo usados em dispositivos móveis. Juntos, os processadores destas três empresas fazem parte de praticamente todos os telemóveis e computadores do mundo. Isto inclui os servidores que as empresas usam tanto para disponibilizar os próprios seus sites e serviços, como para vender capacidade de processamento a outras empresas.
O que são as duas falhas?
Ambas as vulnerabilidades decorrem de falhas na arquitectura dos processadores, que são a componente central num computador (neste contexto, um telemóvel é também considerado um computador). Ambas podem ser exploradas para roubar informação que esteja a ser processada, o que potencialmente inclui palavras-passes, documentos, ficheiros e emails. O Meltdown permite que uma aplicação – como um browser, uma aplicação móvel ou software malicioso que os atacantes consigam instalar no computador das vítimas – possa aceder a memória do sistema e de outras aplicações. O Spectre elimina barreiras entre aplicações, permitindo que uma faça com que outra lhe forneça informação. De acordo com os especialistas que descobriram os problemas, o Spectre é mais difícil de explorar por parte de atacantes, mas também é uma falha mais difícil de resolver.
O que posso fazer?
Como com qualquer outra falha de segurança, é aconselhável que os utilizadores instalem as mais recentes actualizações dos sistemas operativos que usam, bem como os browsers (que também podem ser usados, através de páginas maliciosas, para explorar as vulnerabilidades).
As últimas versões dos browsers Explorer e Edge (da Microsoft) e do Firefox já têm actualizações para mitigar (mas não impedir inteiramente) eventuais ataques que explorem o Meldtown (as actualizações são tipicamente automáticas, sem que o utilizador tenha de fazer qualquer acção). O mesmo acontecerá com a próxima versão do Chrome, que será disponibilizada no dia 23 de Janeiro.
O Google informou também que uma recente actualização de segurança do Android oferece alguma protecção, e que serão tomadas mais medidas. Segundo a empresa, a exploração destas vulnerabilidades “é difícil e limitada na maioria dos dispositivos com Android”.
A Microsoft lançou uma actualização de segurança para o Windows. “Não recebemos nenhuma informação a indicar que estas vulnerabilidades foram usadas para atacar os nossos clientes”, observou a empresa. No ano passado, o ataque WannaCry atingiu uma escala global ao explorar falhas de segurança em computadores que não tinham feito as actualizações ao sistema da Microsoft.
A Apple confirmou que os seus aparelhos são afectados pelas vulnerabilidades expostas. Em comunicado, a empresa nota que todos os computadores Mac e todos os aparelhos com iOS (como o iPhone) estão vulneráveis, mas refere que as mais recentes actualizações do sistema operativo (o iOS 11.2, o macOS 10.13.2 e também o tvOS 11.2, para a Apple TV) já vêm com algumas medidas de protecção. Mais medidas serão incorporadas no futuro.
Para já, não há informação de que as vulnerabilidades estejam a ser utilizadas contra os clientes. A empresa recorda que os atacantes só se podem aproveitar das falhas se existirem aplicações ou programas maliciosos instalados nos aparelhos. Recomenda “instalar apenas programas de fontes conhecidas”. O sistema do Apple Watch não foi afectado.
A comunidade de programadores que mantém o Linux está a trabalhar numa solução. Os vários Linux são amplamente usados em servidores, mas praticamente não têm expressão nos computadores dos utilizadores finais.
As actualizações vão abrandar os processadores?
Tem sido amplamente noticiado que a aplicação das actualizações de segurança acabará por diminuir o desempenho dos processadores. No entanto, a Intel garante que o impacto será reduzido: “Ao contrário de algumas notícias, quaisquer impactos no desempenho estarão dependentes da carga de trabalho [do processador], e, para o utilizador comum de computador, não devem ser significativos e serão mitigados ao longo do tempo.”
É possível saber se fui atacado?
Provavelmente não, dizem os especialistas que descobriram as vulnerabilidades. Por outro lado, não são conhecidos ataques – o que não quer dizer que não tenham existido.
Quem descobriu o problema?
O Meltdown foi descoberto de forma independente por três equipas: uma do Google, outra da empresa alemã Cyberus Technology, e uma outra da Graz University of Technology, na Áustria. O Spectre foi descoberto por um especialista daquela equipa do Google, chamado Jann Horn, e por um outro investigador em segurança informática, chamado Paul Cocher, em colaboração com vários académicos. As vulnerabilidades foram comunicadas há meses às empresas de tecnologia, para que estas tivessem tempo de preparar actualizações de segurança sem que o problema fosse publicado. Uma notícia do site de tecnologia britânico The Register acabou por precipitar a divulgação e antecipar a disponibilização das actualizações.
Actualização 05/01/2018: Acrescentado comentário da Apple sobre os sistemas da empresa que foram afectados.