NewsTecnologia

Alcuni produttori Android mentono sugli aggiornamenti di sicurezza

Uno dei punti deboli dell’ecosistema Android è l’incertezza degli aggiornamenti: non su tutti i modelli arrivano, per un supporto software che a volte può essere definito zoppicante. L’ultimo aggiornamento di febbraio è arrivato – secondo gli ultimi dati – solo sull’1,1% dei dispositivi, e anche la situazione per i semplici aggiornamenti di sicurezza non è proprio rosea. E, secondo un nuovo studio condotto da SRL e riportato da Wired, la situazione è anche peggiore rispetto a quella che viene ormai dipinta da tempo da molteplici società di analisi di mercato.

Karsten Nohl e Jakob Lell hanno analizzato la situazione degli aggiornamenti sui dispositivi Android negli ultimi due anni, scoprendo che gli annunci fatti da alcuni dei produttori riportano una realtà non veritiera sugli aggiornamenti di sicurezza rilasciati sui propri dispositivi. Alcuni smartphone infatti riportano un fenomeno definito “patch gap”, dove il dispositivo dichiara di essere aggiornato con le ultime patch di sicurezza, ma che in realtà non dispone di alcuni fix ufficiali. E il cosiddetto patch gap non è un fenomeno così isolato.

I ricercatori di SRL hanno analizzato 1200 smartphone prodotti da compagnie come Google, Samsung, HTC, Motorola, ZTE e TCL, con studi approfonditi condotti per ogni patch rilasciata lo scorso anno. I due hanno scoperto che non solo i produttori minori hanno mancato alcuni fix fra quelli rilasciati da Big G, ma in alcuni casi più rari il fenomeno è successo anche a società come Samsung e Sony. Una condotta grave non solo dal punto di vista della vulnerabilità dei device, ma anche per quanto riguarda il senso di falsa protezione lasciato negli utenti.

SRL ha rilasciato un tool gratuito su Google Play che analizza il firmware dello smartphone alla ricerca delle patch di sicurezza Android installate o mancanti, in modo da garantire se si è davvero al sicuro. In media gli smartphone prodotti da società come Google, Samsung o Sony sono fra i più sicuri, e mancano solo alcune delle patch di sicurezza rilasciate, ma i casi più gravi sono stati quelli di produttori come ZTE e TCL, con i dispositivi che riportano l’installazione di quattro o più patch di sicurezza in più rispetto a quelle realmente presenti.

Google ha dichiarato a Wired di aver “lanciato un’indagine per i casi dimostrati dalla ricerca”, esortando i produttori a riportare informazioni conformi al reale sui dispositivi certificati. Alcuni dei risultati della ricerca di SRL sono dovuti, secondo Google, alla presenza o meno di funzionalità su uno specifico smartphone, mentre altri smartphone presi in esame non riportavano la certificazione di sicurezza ufficiale consegnata da Google. In più, è probabile che alcuni specifici fix possono essere corretti dal produttore con una soluzione ad-hoc e non quella rilasciata da Google.

È chiaro a tutti però che in termini di aggiornamenti c’è ancora molto lavoro da fare sulla piattaforma del robottino verde, e non serve una ricerca per dimostrarlo. E, se questo non bastasse, servirebbe quanto meno maggiore trasparenza da parte dei produttori sui fix rilasciati e quelli che – per un motivo, o per un altro – vengono omessi.