Aggiornamenti mensili di sicurezza. BlackBerry ai primi posti

È periodo di aggiornamenti, i dispositivi Google passano all’Android Pie, altri produttori cominciano a testarlo, il Keyone è pronto per l’update all’Oreo.. ma occorre sottolineare che “aggiornamento” non significa solo avere qualche novità sul sistema operativo, vuol dire soprattutto sicurezza.

Le patch di sicurezza sono importanti, e la questione è emersa soprattutto dopo che una serie di vulnerabilità di alto profilo sono state rese pubbliche nella seconda metà dell’anno scorso, tra queste:

  • BlueBorne, che ha attaccato il protocollo Bluetooth ed è stata riparata nella patch mensile di settembre 2017;
  • Krack, che ha puntato a una debolezza del WPA2 Wi-Fi ed è stato patchato a dicembre 2017;
  • Spectre / Meltdown, che sono state per lo più riparate con la patch di gennaio 2018.

Le patching di vulnerabilità come queste richiedono in genere la collaborazione di un fornitore hardware (come Broadcom e Qualcomm) perché riguardano un componente hardware come il chip Wi-Fi o Bluetooth o la CPU. Poi ci sono anche i problemi del sistema operativo Android che possono essere risolti solo da un aggiornamento di Android Framework.

Ogni volta che Google rilascia una patch di sicurezza mensile, i produttori di dispositivi dovrebbero essere tenuti a risolvere tutte le vulnerabilità delineate nel bollettino, ma purtroppo vedremo che non è così.

Occorre premettere che ogni mese, ci sono due livelli di patch di sicurezza Android: il livello di patch al 1 ° del mese o il 5 del mese. Se un dispositivo sta eseguendo un livello di patch del 1 ° del mese (ad esempio il 1 ° agosto invece che il 5 agosto), significa che la build contiene tutte le patch del fornitore e del framework della release del mese precedente oltre a tutte le patch del framework della nuova build. D’altra parte, se un dispositivo dice che sta eseguendo un livello di patch dal 5 del mese (ad esempio il 5 agosto), questo significa che contiene tutte le patch di framework e vendor del mese scorso e il bollettino di quel mese.
La tabella che segue, esemplifica la differenza fondamentale tra i livelli di patch mensili:

Livello di patch di sicurezza mensile 1 Agosto 5 Agosto
Contiene patch del framework di agosto
Contiene patch fornitore di agosto No
Contiene patch di framework di luglio
Contiene patch fornitore luglio

@SecurityLab, ricercatore indipendente di sicurezza, ha recentemente pubblicato una tabella che mostra come le aziende produttrici di smartphone (presenti nel mercato statunitense) si impegnano nel fornire agli utenti tempestivi aggiornamenti di sicurezza. I risultati non sono per nulla lusinghieri nell’ecosistema Android.

Certo non sorprende che Apple, avendo il controllo sia del software che dell’hardware e non essendo legato ai carrier, sia in netto vantaggio.

Sorprende invece molto di più il risultato ottenuto da alcuni tra i più noti produttori di telefoni Android, proprio a conferma della mancanza di sensibilità di questi nel garantire ai propri utenti un servizio che, sicuramente è oneroso, ma che dovrebbe essere tra le principali caratteristiche da assicurare a un dispositivo a cui affideremo tutte le nostre attività quotidiane.

Per i dispositivi Google (Pixel) è un gioco da ragazzi, vale lo stesso discorso fatto per Apple. Essential merita un encomio per essere in grado di pubblicare aggiornamenti veloci come Google, senza essere Google.

Dietro a questi due produttori si piazza BlackBerry, che per essere relativamente da poco tempo nell’ambiente Android, riesce a garantire ai propri utenti un buon servizio di aggiornamento delle patch di sicurezza mensili (https://tclota.birth-online.de/#keyone).

Per trovare Samsung occorre scendere di parecchie posizioni e addirittura HTC si trova sorprendentemente al terzultimo posto.

A livello generale, il quadro che ne esce sulla sicurezza dei dispositivi Android è deprimente, e deprime ancora di più che per la maggior parte di questi dispositivi occorrono mesi (con la “i”) prima di ricevere la patch di sicurezza.

Però la colpa non è solo dei produttori di dispositivi Android, forse dipende anche da noi utenti che diamo notevolmente più importanza all’involucro rispetto a quello che sta dentro, o meglio “dietro”, a uno smartphone!

Recommended Posts

Leave a Comment