Android è sicuro come iOS, secondo Google

[zappy]

Quote:

Originariamente inviato da ambaradan74

...Con Android e' vero che non vengono patchati con i security update, ma almeno tutte le app sono aggiornate continuamente in un secondo per tutti i terminali...

è come avere win non patchato e il sw sopra aggiornato.
quanto è sicuro? dipende dal bug del SO. se è bucato un protocollo di rete, non è bello.

[superlex]

Quote:

Originariamente inviato da Nurgiachi

Il problema non è l'OS in se per se, il problema è la gestione.
Quando iOS 7 verrà installato, modificato a piacimento di produttori cinesi e mai aggiornato invece di esser normalmente supportato per 5 o più anni allora crederò che è sicuro quanto lui.

Riassumendo

Quote:

- Eh, ma a ci sono i Pixel!
- A 989€ non mi compro un Android, mi compro iPhone.

Con la differenza che un iPhone lo trovi anche alla metà del prezzo, e il supporto è identico durante il periodo di supporto (cambia la lunghezza del periodo al più).

Quote:

Originariamente inviato da ambaradan74

IOS deve essere aggiornato necessariamente spesso perche tutte le app sono legate all'update di IOS stesso.
Se devo aggiornare Safari e Mail per esempio devo installare un aggiornamento di IOS.

Vero, questo è un suo limite, insieme al fatto che lato sicurezza è supportato sempre e solo l'ultimo sistema operativo.

Quote:

Con Android e' vero che non vengono patchati con i security update, ma almeno tutte le app sono aggiornate continuamente in un secondo per tutti i terminali.

In un secondo non direi, visto che gli aggiornamenti delle app sono rilasciati a scaglioni. Ma non cerchiamo il pelo nell'uovo

Quote:

Quindi la domanda diventa, quale e' il pericolo vero concreto nel girare con un Android non patchato?

Non dipende mica solo dall'ultimo livello: per fare un esempio, patchando WhatsApp non risolvi Stagefright.

Quote:

Originariamente inviato da zappy

è come avere win non patchato e il sw sopra aggiornato.
quanto è sicuro? dipende dal bug del SO. se è bucato un protocollo di rete, non è bello.

Per esempio. (vedi KRACK)

[gd350turbo]

Quote:

Originariamente inviato da Phoenix Fire

il tuo post non regge, Xiaomi è praticamente l'unica casa che aggiorna i propri telefoni per molto tempo.

E' non sono fanatico della sicurezza, ma ho scelto appunto xiaomi, per questo motivo.

Quote:

Originariamente inviato da superlex

Hai comunque una beta, e con le patch aggiornate all'1 invece che al 5.
Che poi ci sia di peggio rispetto a Xiaomi è poco ma sicuro.

Global beta dev, viene aggiornata tramite ota ogni venerdi, ma ce anche la global stabile che viene aggiornata però meno frequentemente.

Fai il rapporto, potenza tecnologica/finanziaria di xiaomi, contro potenza tecnologica/finanziaria samsung/apple/google e confronta il rilascio e la tempistica degli aggiornamenti.

[gioloi]

Quote:

Originariamente inviato da superlex

Non mi sembra solo paranoia, se è quello che intendi. I casi di app malevole anche nel Play Store, i server dei siti bucati, il malvertising, ne sono una prova. Che poi si possa (e debba, imho) vivere tranquilli lo stesso non ci piove

Solo paranoia no, certo, ma anche leggendo gli esempi che mi hai linkato (Attivissimo è persona seria che fa informazione in modo rigoroso, quindi li prendo per buoni) si tratta di problemi legati a singole app malevole, che da quanto capisco non hanno effetti più o meno nefasti a seconda che uno abbia montato Nougat piuttosto che Lollipop. Come al solito, conta molto di più la prevenzione e un minimo di cognizione di causa quando si fanno le cose.

Poi c'è sempre il solito, generico appello a mantenere il sistema aggiornato. Però continuo a non percepire il nesso fra aggiornamenti di sicurezza e aggiornamenti di versione. Anche perché, giusto per estendere il discorso, in ambito desktop le cose sembra stiano addirittura al contrario, almeno a sentire parecchia gente anche su questo forum.

[superlex]

Quote:

Originariamente inviato da gd350turbo

Global beta dev, viene aggiornata tramite ota ogni venerdi, ma ce anche la global stabile che viene aggiornata però meno frequentemente.

Stai però sempre parlando di una versione in via di sviluppo, quando poi arriva la stabile sarà indietro.

Quote:

Fai il rapporto, potenza tecnologica/finanziaria di xiaomi, contro potenza tecnologica/finanziaria samsung/apple/google e confronta il rilascio e la tempistica degli aggiornamenti.

Da quel che leggo dipende anche dal modello, ce ne sono più o meno supportati. Poi ci sta che Xiaomi non sia quella messa peggio lato aggiornamenti (Nokia si comporta comunque meglio), e che abbiano un ottimo rapporto qualità prezzo, anche ora che sono venduti ufficialmente da noi, però il discorso era più generale.

Quote:

Originariamente inviato da gioloi

Solo paranoia no, certo, ma anche leggendo gli esempi che mi hai linkato (Attivissimo è persona seria che fa informazione in modo rigoroso, quindi li prendo per buoni) si tratta di problemi legati a singole app malevole, che da quanto capisco non hanno effetti più o meno nefasti a seconda che uno abbia montato Nougat piuttosto che Lollipop. Come al solito, conta molto di più la prevenzione e un minimo di cognizione di causa quando si fanno le cose.

Se conta molto di più non lo so, che conta certamente sì. Apple ha adottato la soluzione drastica di impedire l'installazione di app esterne all'App Store (comunque bypassabile), Google fortunatamente ha lasciato la possibilità sia di installare app esterne sia di sbloccare il bootloader (produttore permettendo), anche a discapito di tutto il fiorire di malware. Il punto è che molte volte di malware ce n'è anche dentro il Play Store.

Quote:

Poi c'è sempre il solito, generico appello a mantenere il sistema aggiornato. Però continuo a non percepire il nesso fra aggiornamenti di sicurezza e aggiornamenti di versione. Anche perché, giusto per estendere il discorso, in ambito desktop le cose sembra stiano addirittura al contrario, almeno a sentire parecchia gente anche su questo forum.

Pensa per esempio all'introduzione della gestione dei permessi delle app con Android M, oppure le limitazioni ai sensori per le app in stato di idle con Android P. In questo senso ogni nuova versione apporta miglioramenti alla sicurezza: un'app malevola potrebbe fare più danni e più facilmente con L piuttosto che con P.
È come se gli upgrade di versione migliorassero un muro di protezione facendolo più alto, aggiungendo strati, usando materiali più resistenti, etc, mentre le patch di sicurezza aggiustassero dei buchi che per forza di cosa sono presenti (in sostanza perché nulla è perfetto, quindi neanche i programmatori e di conseguenza il software che creano).

In ambito desktop non so a cosa ti riferisci di preciso, però si può pensare all'introduzione di UAC con Vista, per esempio.

[gioloi]

Quote:

Originariamente inviato da superlex

In ambito desktop non so a cosa ti riferisci di preciso, però si può pensare all'introduzione di UAC con Vista, per esempio.

Mi riferisco al fatto che parecchia gente sostiene di "vivere meglio" con Windows Seven (che sarà aggiornato fino al 2020) piuttosto che con Windows 10, considerato addirittura malevolo per via della telemetria e della politica di aggiornamenti che (a sentire i detrattori) procura problemi a non finire e mantiene il SO in uno stato di "beta perenne", che lo rende più instabile.
Eppure tra le due versioni non corre un solo anno di differenza, come fra Nougat e Oreo, ma ben 6.
Ciononostante, molti si sentono tuttora più "sicuri" con 7 che con 10, nonostante il primo sia stato rilasciato 9 anni fa.
Se valesse il discorso appena fatto, e si dovesse seguire sempre e comunque la filosofia del "più è recente, più è sicuro", dovrebbe essere l'esatto contrario.

La cosa ironica è che diversi tra coloro che criticano il mondo Android perché molti produttori "abbandonano" i loro modelli impedendo l'aggiornamento continuo alle versioni più recenti del SO, sono gli stessi che si dichiarano felicissimi di utilizzare Windows 7, schifando 10.

[superlex]

@gioloi,
i passi avanti in termini di sicurezza sono stati fatti anche con Windows 10, basti vedere quanto è migliorato Windows Defender.
Purtroppo col passaggio a Windows 10 si è trasformato Windows in un servizio "gratuito" a discapito della privacy, per cui capisco che molti preferiscano Windows 7 al suo posto.
Tuttavia sul fatto che Window 7 sia più sicuro di Windows 10 ci andrei cauto, per una serie di motivi:
- da quel che mi risulta, le patch di sicurezza arrivano prima su 10 e solo dopo su 8 e 7;
- sempre da quel che mi risulta, le ricerche di sicurezza (vulnerabilità ed exploits) sono focalizzate principalmente sull'ultimo sistema operativo, quindi non mi sorprende che ne spuntino di nuove più su 10 che sui precedenti;
- negli ultimi anni la ricerca in termini di sicurezza è aumentata, per cui se le vulnerabilità scoperte sono di più è normale;
- lo sviluppo sempre più complesso del sistema operativo porta a rigor di logica a più spazio in cui possono esserci delle falle (più codice = più probabilità di errori), anche se poi questo potrebbe essere compensato con strumenti di sviluppo più efficienti.
Quello che è importante però non è tanto il numero vulnerabilità scoperto, ma la tempestività con cui vengono risolte. Un motivo per cui un sistema operativo open source è ritenuto più sicuro di uno closed source è che è più facile trovare vulnerabilità, per cui non c'è da stupirsi se il loro numero è maggiore, però una volta trovate vanno corrette, ed è qua che cade Android (per come è gestito).

[gioloi]

Quote:

Originariamente inviato da superlex

Tuttavia sul fatto che Window 7 sia più sicuro di Windows 10 ci andrei cauto, per una serie di motivi:

La penso come te.
Windows 10 ha sicuramente i suoi problemi, ma per quanto mi riguarda sono decisamente sopportabili in rapporto ai vantaggi, tra i quali ci metto appunto la sicurezza e avere i driver più recenti costantemente aggiornati (il che, in qualche modo, si riallaccia alla sicurezza stessa).

[davide3112]

Se il system è open NON può essere sicuro per definizione... altrimenti NON sarebbe open... non è che ci vuole Guglielmo Marconi per capirlo...

[Phoenix Fire]

Quote:

Originariamente inviato da davide3112

Se il system è open NON può essere sicuro per definizione... altrimenti NON sarebbe open... non è che ci vuole Guglielmo Marconi per capirlo...

[gd350turbo]

Dai, però, devi ammettere che è stato indottrinato bene.

[LMCH]

Quote:

Originariamente inviato da davide3112

Se il system è open NON può essere sicuro per definizione... altrimenti NON sarebbe open... non è che ci vuole Guglielmo Marconi per capirlo...

Tu confondi la possibilità di poter eseguire VERIFICHE E CORREZIONI ai sorgenti (cosa che contribuisce ENORMEMENTE alla sicurezza a lungo termine del sistema) con l'ACCESSO APERTO ad un sistema (cosa che non dipende dal poter vedere o meno i sorgenti se il software è scritto decentemente).

Di solito la differenza tra open source e closed source è che una falla in un sistema closed source viene sfruttata molto più a lungo perchè c'è meno gente che può fare verifiche sulla qualità dei sorgenti a scopo "difensivo".
Invece a scopo "offensivo" fare il reverse engineering alla ricerca di falle e bug da sfruttare non richiede l'accesso ai sorgenti, i file binari o quelli che vengono compilati just-in-time sono sufficienti a raggiungere lo scopo (specialmente se si sfruttano quirks legati a come viene compilato o linkato il codice).

[Phoenix Fire]

Quote:

Originariamente inviato da LMCH

Tu confondi la possibilità di poter eseguire VERIFICHE E CORREZIONI ai sorgenti (cosa che contribuisce ENORMEMENTE alla sicurezza a lungo termine del sistema) con l'ACCESSO APERTO ad un sistema (cosa che non dipende dal poter vedere o meno i sorgenti se il software è scritto decentemente).

Di solito la differenza tra open source e closed source è che una falla in un sistema closed source viene sfruttata molto più a lungo perchè c'è meno gente che può fare verifiche sulla qualità dei sorgenti a scopo "difensivo".
Invece a scopo "offensivo" fare il reverse engineering alla ricerca di falle e bug da sfruttare non richiede l'accesso ai sorgenti, i file binari o quelli che vengono compilati just-in-time sono sufficienti a raggiungere lo scopo (specialmente se si sfruttano quirks legati a come viene compilato o linkato il codice).

diciamo anche che non c'è un meglio o peggio, da una parte hai una community che può controllare e scoprire velocemente vulnerabilità (ma ovviamente ne sfuggono anche a loro, ricordate quella di SSH?), inoltre i software open hanno solitamente un rilascio più rapido (o uno può comunque scaricarsi il sorgente e compilarselo) quindi si ricevono prima gli aggiornamenti di sicurezza, di contro però anche gli attaccanti possono vedere il codice e scoprire vulnerabilità da sfruttare nel periodo in cui ancora non sono fixate o sperando di beccare macchine non aggiornate.
Il software closed ha il vantaggio di non essere visibile e, teoricamente, è più difficile scoprire vulnerabilità da sfruttare per fare seri danni (il reverse engineering funziona fino a un certo punto, esistono molti metodi di offuscamento), potrebbe ricevere però meno controlli di sicurezza (in teoria tutti possono controllare il codice open source, ma ovviamente solo un ristretto gruppo) e il ciclo di aggiornamento e rilascio fix è solitamente più lento, una volta disponibile il fix bisogna comunque aspettare che la sh rilasci il tutto

[superlex]

Quote:

Originariamente inviato da Phoenix Fire

diciamo anche che non c'è un meglio o peggio, da una parte hai una community che può controllare e scoprire velocemente vulnerabilità (ma ovviamente ne sfuggono anche a loro, ricordate quella di SSH?), inoltre i software open hanno solitamente un rilascio più rapido (o uno può comunque scaricarsi il sorgente e compilarselo) quindi si ricevono prima gli aggiornamenti di sicurezza, di contro però anche gli attaccanti possono vedere il codice e scoprire vulnerabilità da sfruttare nel periodo in cui ancora non sono fixate o sperando di beccare macchine non aggiornate.

Per questo dico che nel caso di Android l'essere open source ci si rivolta contro. Finché Google non rilascia gli aggiornamenti con le patch al più sono indicate le CVE ma i dettagli rimangono nascosti, successivamente però viene pubblicato tutto (descrizione della vulnerabilità, codice della patch, etc.) e diventano alla mercé di tutti.