Quasi tutti gli smartphone Android contengono almeno una falla di sicurezza

Quasi tutti gli smartphone Android contengono almeno una falla di sicurezza

La colpa non è di Google, che rilascia prontamente i fix di sicurezza, ma dei produttori degli smartphone che non aggiornano i propri dispositivi

di pubblicata il , alle 09:01 nel canale Telefonia
AndroidGoogleSamsungHTCLGSony
 

Quasi il 90% dei dispositivi Android, un numero complessivamente impressionante, è esposto ad almeno una vulnerabilità critica. I problemi non sono relativi ad una scarsa "qualità" del codice del sistema operativo, ma ad avere la responsabilità diretta sono i produttori dei terminali, i quali vengono troppo spesso lasciati al loro triste destino senza più ricevere patch o fix di sicurezza. A lanciare l'allarme è l'Università di Cambridge.

Il problema comunque sembra essere più a monte e pare che ci sia confusione nel capire chi è che deve rilasciare le patch di sicurezza dopo la pubblicazione da parte di Google: "C'è asimmetria nelle informazioni fra il produttore, che sa se il dispositivo è sicuro e riceverà aggiornamenti di sicurezza, e il cliente, che non lo sa", hanno dichiarato Daniel Thomas, Andrew Rice e Alastair Beresford nel documento rilasciato dall'Università.

L'87% degli smartphone Android è vulnerabile ad almeno una falla

La ricerca di mercato è stata condotta analizzando circa 20 mila dispositivi Android con l'applicazione Device Analyzer, e fra questi circa l'87% dei campioni è stato trovato vulnerabile ad almeno uno degli 11 bug diffusi pubblicamente negli scorsi cinque anni. Fra questi troviamo il recente TowelRoot, sistemato ad esempio da Cyanogen lo scorso anno, e FakeID. I ricercatori hanno inoltre scoperto che i dispositivi Android ricevono in media 1,26 aggiornamenti l'anno, decisamente pochi.

"La nostra speranza è che quantificando il problema possiamo aiutare la gente nella scelta di uno smartphone, incentivando al tempo stesso i produttori e gli operatori a rilasciare aggiornamenti", ha dichiarato Rice. Molti produttori si stanno attivando per rilasciare in maniera rapida gli aggiornamenti di sicurezza, e fra questi troviamo Samsung ed LG che hanno dichiarato che rilasceranno aggiornamenti di sicurezza mensili proprio come fa Google con i dispositivi Nexus.

Ci sono però produttori, come ad esempio HTC, che ritengono irrealistica l'ipotesi degli aggiornamenti mensili, soprattutto quando devono intervenire anche gli operatori telefonici nei dispositivi brandizzati.

Lo studio condotto dall'Università di Cambridge ha tentato anche di dare un punteggio sugli sforzi compiuti per la sicurezza da parte dei produttori Android. Il punteggio (FUM) si basa su tre criteri: F, la proporzione dei dispositivi senza vulnerabilità critiche fra quelle conosciute; U, la proporzione dei dispositivi aggiornati alla versione più recente disponibile; M, il numero di vulnerabilità che il produttore non ha ancora corretto sui dispositivi in circolazione.

Su una scala da 0 a 10, Google si trova in una salda prima posizione con il punteggio di 5,2, seguita da LG (4,0) e Motorola (3,1). Seguono Samsung, Sony e HTC, con la situazione ancora più sconfortante per altri produttori meno conosciuti. È interessante notare come lo studio sia stato in parte promosso dalla stessa Google che, probabilmente, vuole dare un segnale molto forte ai partner che producono smartphone e tablet Android.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

36 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TheSim15 Ottobre 2015, 09:22 #1
"l'87% dei campioni è stato trovato vulnerabile ad almeno uno degli 11 bug diffusi pubblicamente negli scorsi cinque anni"

Se Google avesse proposto aggiornamenti "stile microsoft", indipendenti dal produttore/modello/piattaforma il problema non ci sarebbe.
Un servizio "google update" con permessi di root che può installare aggiornamenti di sicurezza senza cambiare versione dell'OS. Mi importa relativamente se android installato sia il 4.4.x il 5.1 o il 6, l'importante sia aggiornato sul fronte bug sicurezza. E non dite che è difficile, windows e linux lo fanno da anni a prescindere dall'hw installato e dalla versione dell'OS. Ma a google e ai produttori questo non interessa, prima diventa vecchio il telefono prima lo cambi, prima guadagnano.
sniperspa15 Ottobre 2015, 09:22 #2
"vulnerabili ad almeno una falla"

ironman7215 Ottobre 2015, 09:35 #3
Originariamente inviato da: sniperspa
"vulnerabili ad almeno una falla"



Infatti non ha senso!!! NINOOOO correggi!!!!
nickluck15 Ottobre 2015, 09:36 #4
Il grafico é praticamente inutile. La parte verde dei dispositive "sicuri" non ha senso: la falla c'era giá ma semplicemente non era ancora pubblica. Una volta scoperta la falla, il dispositivo da "verde" diventa "rosso".
Rubberick15 Ottobre 2015, 10:03 #5
si ma anche la, la brandizzazione del tel..

e standardizzatela

quattro sfondi del menga, qualche icona..

cosi' sono contenti sti operatori ma almeno se uno fa un update non salta tutto
Cloud7615 Ottobre 2015, 10:15 #6
Quasi tutti gli smartphone Android sono vulnerabili ad almeno una falla

certo, e
Quasi tutti gli smartphone iOS sono vulnerabili ad almeno una falla


Quasi tutti gli smartphone Windows mobile sono vulnerabili ad almeno una falla


TUTTI gli smartphone sono vulnerabili ad almeno una falla.
s0nnyd3marco15 Ottobre 2015, 10:16 #7
La situazione e' sconfortante. Per l'utente l'unica speranza e' il supporto di rom alternative come cyanogenmod.
Luca2615 Ottobre 2015, 10:38 #8
vale anche per il nexus 5 con tutte le patch di sicurezza installate ?
Armage15 Ottobre 2015, 10:41 #9
abbiamo capito che sei innamorato, Nino, ma, mi spiace, certo che la colpa è di Google (o almeno in buonissima parte), perché se da domani imponesse certe specifiche ai produttori relative alla personalizzazione del sistema e alla tempestività degli aggiornamenti, "altrimenti non ti faccio usare il mio android", tutto questo non succederebbe, e potrebbe farlo subito. Perché non lo fa? Perché questo avrebbe un costo per i produttori che si lamenterebbero e Google, essendo una società a scopo di lucro come tutte le altre (ebbene sì, non lavora per il bene del mondo come tutti pensano) non vuole pungolarli, temendo di perderne qualcuno per strada, con gli utenti del produttore che finirebbero con l'usare meno i vari chrome, gmail, gdrive, G+ eccetera eccetera... Sarebbero certamente pochi, ma mamma G non vuole perdere nemmeno quelli.
bobafetthotmail15 Ottobre 2015, 10:45 #10
Originariamente inviato da: articolo] Il problema comunque sembra essere più
Non è questo quello che dicono nell'articolo.
Diamine lo traducete anche correttamente con:
C'è asimmetria nelle informazioni fra il produttore, che sa se il dispositivo è sicuro e riceverà aggiornamenti di sicurezza, e il cliente, che non lo sa

Questo significa che chi compra non ha idea delle probabilità che il suo device riceva aggiornamenti di sicurezza, non che ci siano dubbi su chi deve fare gli aggiornamenti per i device.

Il sorgente dei firmware dei vari device e/o i driver non sono mica accessibili a Google, come fa a fare le patch, magari firmarle con le chiavi crittografiche giuste a seconda del produttore e poi mandarle in giro?

Originariamente inviato da: TheSim
Se Google avesse proposto aggiornamenti "stile microsoft", indipendenti dal produttore/modello/piattaforma il problema non ci sarebbe.
Sai vero quale sarebbe la prima risposta dei produttori quando (non SE, dico proprio QUANDO) una patch inchioda le loro customizzazioni merdacchiose? Assumendo che non lo tolgano proprio nei loro firmware per evitare rogne o ragioni commerciali?

Già ci sono casi di Samsung che facevano i furbini e disattivavano Windows Update, figurati con Google che l'OS è opensource e a gratis.

Ma a google e ai produttori questo non interessa, prima diventa vecchio il telefono prima lo cambi, prima guadagnano.

Dall'articolo:
[I]È interessante notare come lo studio sia stato in parte promosso dalla stessa Google che, probabilmente, vuole dare un segnale molto forte ai partner che producono smartphone e tablet Android.[/I]

[QUOTE]La parte verde dei dispositive "sicuri" non ha senso: la falla c'era giá ma semplicemente non era ancora pubblica. Una volta scoperta la falla, il dispositivo da "verde" diventa "rosso".
Il problema è che se usi "data di creazione della falla" come parametro, diventa tutto rosso a prescindere su qualsiasi OS, quindi il grafico puoi anche non farlo.

Anche su Windows escono falle che colpiscono tutti gli OS da Vista in su, quindi fare paragoni sul da quando esistono le falle scoperte X anni dopo non avrebbe alcun senso.

Usare il momento in cui la falla è pubblica è una ragionevole approssimazione, visto che di meglio non si può fare.

"altrimenti non ti faccio usare il mio android", tutto questo non succederebbe, e potrebbe farlo subito. Perché non lo fa?
Perchè chiunque con una VM di Ubuntu aggiornata può andare sul sito di AOSP, tirare giù i sorgenti e compilarsi il suo firmware Android non pagando una cippa e in modo totalmente legale.

Quello che succederebbe è che i produttori cambiano nome all'OS e levano magari la mascotte di Android, e tutto prosegue come prima.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^