La metà dei dispositivi Android non ha ricevuto aggiornamenti di sicurezza in tutto il 2016

Google ha trascorso l'ultimo anno cercando di migliorare l'aspetto della sicurezza su Android, ad esempio rendendo più snello il sistema utilizzato per gli aggiornamenti. La compagnia è da lungo tempo criticata poiché non rapidissima a proteggere gli utenti dalle vulnerabilità e, sebbene non sia la responsabile diretta, buona parte della responsabilità spetta alla complessità del sistema operativo e al sistema utilizzato per gli aggiornamenti che mal si sposa con la presenza di partner di terze parti che offrono personalizzazioni - anche pesanti - del sistema operativo.

Nel più recente report sulla sicurezza Google afferma di aver fatto alcuni passi in avanti nel 2016 rilasciando update di sicurezza su 735 milioni di dispositivi appartenenti a più di 200 produttori. Questo significa però che circa la metà dei dispositivi Android attualmente in circolazione non ha ricevuto alcun aggiornamento durante gli ultimi 12 mesi. Un grosso problema, e Google lo sa: "C'è ancora un sacco di lavoro da fare per proteggere tutti gli utenti Android: circa la metà dei dispositivi in uso non ha ricevuto un aggiornamento di sicurezza lo scorso anno".

La situazione non migliora se consideriamo che nel periodo preso in esame Google ha rilasciato un aggiornamento al mese su Android. Fra i contenuti di questi aggiornamenti troviamo anche fix di vulnerabilità note e potenzialmente sfruttabili, con la mancata installazione che si traduce nel permettere l'esecuzione di exploit con finalità malevole. E su Android è piuttosto facile incappare in una mancata installazione dato che il processo di roll-out dell'aggiornamento deve prima passare da diverse mani, fra produttori terzi e operatori.

La situazione non si pone sui terminali Nexus e Pixel supportati, ma sono centinaia i produttori che usano Android senza però seguirne le pratiche consigliate da Google. Su determinati dispositivi bisogna anche aspettare mesi per ricevere aggiornamenti sensibili, mesi in cui i terminali rimangono vulnerabili ad exploit sfruttabili da utenti  malintenzionati. Collaborando con produttori e operatori telefonici Google è riuscita comunque a ridurre i tempi d'attesa sui top di gamma da sei/nove settimane ad alcuni giorni, ma non ci sono solo top di gamma in circolazione.

"Negli USA, circa il 78% dei dispositivi flagship era aggiornato con l'ultimo aggiornamento di sicurezza alla fine del 2016. È un buon numero in termini di progresso, e crediamo che possiamo fare anche di più", ha dichiarato Google.  La società punta ad offrire maggiori informazioni alle terze parti, in modo che riescano a capire i colli di bottiglia presenti durante il processo di roll-out e siano in grado di agire di conseguenza diminuendo i tempi di rilascio. Anche gli operatori, a detta di Google, stanno iniziando a percepire gli aggiornamenti di sicurezza in maniera diversi da quelli legati alle funzionalità.

In futuro Big G continuerà a diminuire le dimensioni degli update in modo da snellire le procedure di verifica e implementazione da parte di carrier e produttori, diminuendo così i potenziali tempi di rilascio non solo sui Nexus e sui Pixel, ma su tutti i terminali che fanno uso di Android. Parte del report Year in Review si occupa inoltre del processo di eliminazione delle "app potenzialmente dannose" su Google Play, che includono trojan, meccaniche di phishing e download ostili, elementi che vengono tutti installati sugli smartphone degli utenti.

Google ha effettuato 750 milioni di scansioni nel 2016, cifra in aumento rispetto alle 450 milioni dell'anno precedente. Questo ha comportato una notevole diminuzione nei download di app malevole attraverso il Play Store: lo 0,016% delle installazioni comprendeva trojan, lo 0,003% downloader ostili, backdoor, mentre solo lo 0,0018% tentativi di phishing, con una diminuzione rispettivamente de 51, 54, 30 e 73% rispetto all'anno scorso.

Sono però in aumento i dispositivi infetti. Secondo quanto rivela Google a fine 2016 lo 0,71% dei dispositivi Android conteneva almeno un'app potenzialmente dannosa, mentre l'anno scorso erano lo 0,5%. È probabile che queste app siano state scaricate da store di terze parti, ma Google ha già precisato che intende comunque diminuire quel numero per la fine del 2017.