La situazione è grave: produttori trovati a mentire riguardo le patch di sicurezza
Come se la situazione riguardo gli aggiornamenti principali di Android non fosse già abbastanza problematica per colpa della forte frammentazione. Sembra che anche la situazione riguardo le patch di sicurezza non sia delle migliori. Alcuni produttori sono stati colti con le mani nel sacco a mentire riguardo questi importanti aggiornamenti e questo dimostra come Google non abbia il minimo controllo sull'ecosistema mobile che ha creato.
Ormai non è una novità, quasi nessun produttore di smartphone Android riesce a tenere il passo con i veloci aggiornamenti che Google sforna per il suo OS. Ovviamente alcuni sono migliori di altri e nonostante non vengano rilasciati aggiornamenti importanti per tutti gli smartphone viene almeno garantita la sicurezza di dispositivi attraverso apposite piccole patch mensili (che comunque non tutti diffondono).
Anche i brand che sembrano più attenti e diligenti sono stati trovati a non adempiere in modo corretto il proprio dovere addirittura mentendo sul livello di patch di sicurezza dei dispositivi. Ad affermare questo è un report di Wired che diffonderà maggiori dettagli durante la conferenza riguardante la sicurezza all'Hack in the Box.
I ricercatori Karsten Nohl e Jakob Lell dei Security Research Labs hanno passato gli ultimi due anni a controllare il livello di sicurezza di centinaia di modelli di smartphone provenienti da decine di brand per verificare se le patch indicate come presenti sui dispositivi fossero veramente state implementate migliorando la sicurezza.
Quale problema è stato scoperto?
I risultati sono preoccupanti in quanto è emerso che molti dei produttori incrementerebbero il livello di patch di sicurezza indicato sugli smartphone senza in realtà applicare le patch al sistema, lasciando quindi un divario tra l'effettivo livello di protezione e quello dichiarato. Le differenze variano da modello a produttore ma essendo le patch indicate nei Security bullettin mensili pubblicati da Google, questo non dovrebbe accadere in nessun caso.
Sempre secondo il report, alcuni produttori volutamente avrebbero alterato la rappresentazione del livello di patch semplicemente cambiandone il nome il che dovrebbe far imbestialire e non poco i possessori degli smartphone in questione. Questo è possibile modificando la stringa ro.build.version.security_patch all'interno del file si sistema build.prop.
Alcune volte il divario è attribuito da parte dei ricercatori ad errori umani: non ci sarebbe altra ragione da parte di produttori come Sony o Samsung per mancare solo alcune delle patch invece che altre. SRL ha pubblicato anche delle tabelle realizzate verificando gli aggiornamenti di sicurezza da ottobre 2017 fino ad ora e controllando quali produttori siano stati diligenti e quali no.
Osservando i dati si può vedere come Google, Sony, Samsung e Wiko siano i più attenti mentre ZTE e TCL siano tra i peggiori.
È tutta colpa dei produttori?
Sì e no. SRL ha fatto notare come i produttori siano solo parte del problema mentre la colpa maggiore possa essere attribuita ai chip maker. Ad esempio i dispositivi Mediatek sono molto più colpiti da questa situazione dei dispositivi che utilizzano chip Qualcomm o Samsung.
La colpa è di Google, non ci sono scuse
L'azienda di Mountain View ha dichiarato che avvierà un'indagine su tutti i dispositivi indicati dai ricercatori come colpevoli di avere un divario effettivo tra le patch implementate e quelle indicate dal produttore. Il fatto più sconcertante è che non esiste nessun controllo da parte di Google riguardo l'effettiva implementazione delle patch di sicurezza indicate dai produttori negli aggiornamenti da essi rilasciati, cosa che non dovrebbe accadere. Google ha perso da tempo il controllo sulla propria piattaforma, che voglia ammetterlo o no.
I Pixel 2 sono ovviamente perfettamente allineati con quanto indicato dalle patch
Quello che personalmente non riesco a comprendere è perché le aziende sprechino risorse per creare "finti" aggiornamenti che cambiano solo il livello di patch indicate. Non sarebbe più onesto ed utile reindirizzare queste risorse per la realizzazione di più tempestivi aggiornamenti di sistema?
Ovviamente non faccio di tutta l'erba un fascio ma sono davvero colpito da questo comportamento da parte delle aziende e dal fatto che gli OEM si sentano in diritto di prendere in giro i propri utenti in questo modo.
Voi cosa pensate di questa imbarazzante situazione? Cosa pensate possa fare Google per risolvere il problema?