ELECTROLUX
ELECTROLUX

Troppi smartphone Android non ricevono le patch di sicurezza mensili

Android è il sistema operativo per smartphone di maggior successo fino ad oggi, con oltre due miliardi di dispositivi in uso attivo. Con il successo arriva la responsabilità, in questo caso per la sicurezza e la privacy degli utenti mobile in tutto il mondo.
La soluzione proposta da Google è stata il rilascio mensile e regolare delle patch di sicurezza, almeno per la versione corrente di Android.
Secondo uno studio di Security Research Labs, Android ha avuto grosse difficoltà con le patch in passato, nel 2016 solo il 17% dei dispositivi erano aggiornati alle ultime versioni delle patch di sicurezza. Da allora, molti produttori di dispositivi hanno migliorato la frequenza delle patch: i telefoni ora ricevono aggiornamenti di sicurezza mensili, ma solo quelli più costosi e aggiornati alle ultime versioni di Android. L’installazione di patch ogni mese è un primo passo importante, ma è ancora insufficiente se gli aggiornamenti non comprendono tutte le patch rilasciate quel mese da Google. Che da mesi separa le patch di sistema dalle altre, e non si capisce perchè come Google aggiorna le App tutti i giorni non possa fare la stessa cosa con le patch di sistema. Apple resta veramente su un altro pianeta.

Controlla le patch del tuo Android

Security Research Labs ha analizzato il livello di patch di decine di produttori Android a partire da Ottobre 2017 con la sua App gratuita SnoopSnitch. Solo tre marche avevano patch complete, Google (ovviamente), Samsung e Sony.
Il mio Moto G3 (dicembre 2015) è un classico esempio di smartphone abbandonato subito dal produttore Lenovo dopo avere promesso almeno due anni di aggiornamenti (il minimo vista la garanzia europea di 2 anni). Dopo l’aggiornamento ad Android 6.0 uscito mesi prima dello smartphone, Motorola ha poi pensato di chiudere subito in bellezza (Lenovo ha assorbito la divisione) con una 6.0.1 contenente modifiche alla parte radio del dispositivo, una cosa da non fare mai in una patch, che non viene sottoposta a test approfonditi. Al MotoG3 con un Android standard oggi mancano solo 59 patch

Android è comunque difficile da hackerare

I moderni sistemi operativi includono diverse barriere di sicurezza, ad esempio ASLR e sandboxing, che in genere devono essere violati per hackerare un telefono in remoto. A causa di questa complessità, alcune patch mancanti di solito non sono sufficienti per consentire a un hacker di compromettere remotamente un dispositivo Android. Invece, più bug devono essere concatenati per un hack di successo.

L’ecosistema criminale sembra comprendere le sfide nell’hacking dei telefoni Android. Infatti i criminali si concentrano sugli utenti per convincerli ad installare app dannose, spesso provenienti da fonti non sicure, e quindi concedere autorizzazioni eccessive a queste app. Restano gli hacker sponsorizzati dagli Stati e quelli ben finanziati, che in genere aspettano vulnerabilità “zero day” ma potrebbero anche fare affidamento su bug noti per sviluppare catene di exploit efficaci. Le patch regolari di questi bug noti aumenta quindi lo sforzo anche per hacker molto determinati.

 

 

ELECTROLUX
AIR TWISTER
DIFUZED
FIZZ
PALADONE
OTL
CROCKPOT
PANTHEK
ARCADE1UP