Tutti i dispositivi Android a rischio hack: basta lanciare un MP3 o un MP4

Diciamo che sei molto ottimista.

Già oggi abbiamo a che fare con miliardi di smartphone... non è impensabile che diventino prima o poi bersaglio di cyber-criminali.

Ho il vago sospetto che metteranno sempre più componenti di sistema come "app di sistema" che vengono aggiornate dallo store.

C'è qualche controindicazione secondo te (non so, chiedo)?

A parte quello..Spesso il risultato che ottieni e talmente ridicolo che forse è meglio tenersi un sistema vecchio e non più aggiornabile che mettersi nelle mani di un paio di nerd smanettoni.
Io ho aggiornato con XDA due dispositivi.
Il primo mi mangiava la batteria che era un piacere.
Il secondo mi ha incasinato il GPS e non funzionava più una mazza.
Morale: li ho rimessi come in origine e poi me ne sono sbarazzato...

Non vedo grosse controindicazioni sinceramente, anche se penso che prima dovranno rendere tutto il sistema più modulare.

In questo modo si potrebbero ridurre i margini di personalizzazione dei vendor che non so quanto saranno contenti, ma in qualche modo Google deve sistemare il problema che c'è con quelli lumaca/assenti...

Io penso che ne trarrebbero benefici tutti alla fine.

ma... non è lo stesso bug di qualche mese fa?

Va detto che comunque per molti dispositivi non rilasciano i sorgenti o quello che rilasciano fa schifo ed è a malapena sufficiente per fare un firmware custom alla STESSA versione del firmware ufficiale.

Esempio tutta la fascia bassa 2012 è praticamente da buttare, buona parte della bassa 2013 anche. Più tanti ma tanti fascia media e anche top gamma.

Da quando quasi tutti sono passati ad usare dei Snapdragon (qualcomm), la situazione è migliorata sul fronte firmware custom.

No. Stesso componente, bug diverso. https://web.nvd.nist.gov/view/vuln/...d=CVE-2015-6602 (le date sono mese/giorno/anno, come standard US)

Con un paio di differenze fondamentali:

1) Gli aggiornamenti di Windows risolvono problemi o aggiungono funzionalità per TUTTI gli utenti del sistema operativo, nel caso di Android bisogna sperare nel buon cuore del produttore e salvo pochissime eccezioni (= dispositivi di fascia alta, recenti e di determinati vendor) viene rilasciato un fix. Tutti gli altri devono cercare una custom ROM, se esiste, per risolvere bug gravi dell'OS

2) Dei bulletin di Microsoft solo una minima parte riguarda vulnerabilità gravi del sistema operativo. Interessante il link: http://www.networkworld.com/article...-worst-app.html ed il fatto che buona parte delle vulnerabilità importanti negli ultimi 2/3 anni abbiano impattato sistemi non-Windows (Heartbleed, ShellShock, Poodle, etc)

Questo perchè tecnicamente Android è solo il firmware dei Nexus, e degli Android One. E della GoogleTV o altri dispositivi che non so ma fatti da Google.

Gli altri sono "cloni", non controllati da Google. Certe aziende tipo Samsung mettono "powered by Android" ma il firmware lo sviluppano e personalizzano loro, copiando la base da AOSP che è la base di quello Google, perchè Google lo lascia copiare causa GPL.

Ma sono delle versioni diciamo come la Pirate Edition di Windows, dove ci sono temi custom, cose rimosse e cose aggiunte.

???
Dallo stesso link risulta che siano uscite 24 vulnerabilità gravi per Linux e circa 24 gravi per Windows.

Heartbleed ad esempio è stata seguita da una vulnerabilità simile per i server windows http://www.slashgear.com/windows-sc...lable-12355060/

E comunque, se vai all'articolo sorgente lo stesso scrittore ha postato un update dopo che qualcuno gli ha fatto cortesemente notare che dividere Windows in 8 sezioni mentre si lascia Linux insieme e OSX insieme va a falsare di brutto i risultati.
http://www.gfi.com/blog/most-vulner...ations-in-2014/
[I]UPDATE:
The response to my post on the top vulnerabilities in 2014 has been amazing and I would like thank everyone who commented on the article. What certainly stood out in the comments and feedback is the fact that some of the statistics I reported on were not clear enough. Many comments queried why vulnerabilities were grouped in the way I did and why there’s a single entry for Apple OS X and Linux but seven entries for each Windows version.

In the following update, I’m going to try and clarify and answer most of our readers’ queries.

The operating systems are different and it is hard to group them in a way that everybody agrees with. For example, unlike Windows, the Linux Kernel can be upgraded independently of the rest of the operating system; therefore it is hard to link Linux Kernel vulnerabilities to a specific Linux distribution or Linux distribution version. This is why Linux vulnerabilities are grouped under Linux Kernel as a separate product and then there are the specific vulnerabilities for each Linux distribution. The reason why only Linux Kernel and Apple OS X are listed at the top is because the number of vulnerabilities that specifically apply to other Linux distributions (like Red Hat, Debian, etc.) is lower than the number of vulnerabilities that apply to the operating systems already listed.

For example, here are some statistics for several Linux distributions that did not make it to the top and which are not included under Linux Kernel entry:

Ubuntu

39 total vulnerabilities 7 high severity 27 medium severity 5 low severity

Red Hat Enterprise

27 total vulnerabilities 6 high severity 17 medium severity 4 low severity

openSUSE

20 total vulnerabilities 9 high severity 9 medium severity 4 low severity

Fedora

15 total vulnerabilities 3 high severity 9 medium severity 3 low severity

If we had to group the different Windows versions under one entry the statistics would look like this:

Windows

68 total vulnerabilities 47 high severity20 medium severity 1 low severity

As you can see a lot of Windows vulnerabilities apply to multiple Windows versions and because of that there is not a huge difference between the number for the entire Windows operating systems family and the numbers for different Windows versions.

Some readers have also asked where Android fits in. Here are the NVD stats:

Android

6 total vulnerabilities 4 high severity 1 medium severity 1 low severity

It is important to note that Android is based on Linux Kernel too and some of those vulnerabilities apply to Android as well. The malware on Android devices is usually spread via applications installed on the devices rather than via holes in the operating system.
[/I]

Quindi, se si dà un trattamento uguale a windows e al kernel linux nelle statistiche (cioè si unisce tutto ad minchiam) salta fuori come windows ha più vulnerabilità gravi del kernel linux.

Che però di per sè non significa una cippa visto che il kernel da solo non serve a niente.

Se si confronta con una distro tipo il Buntu, saltano fuori:
24 + 7 gravi = 31 gravi
contro le 24 di diciamo Windows 7

Debian sembra che abbia meno di 3 vulnerabilità gravi visto che non è in lista.

se si confronta con Android invece, esso vince di brutto questa gara a chi ha meno buchi, visto che sarebbe un 4 + "poche di quelle del kernel linux" (assumo meno di 12 sennò avrebbe detto +-metà, e che come dice lui il grosso del malware Android è scamware cioè frega l'utente e non usa falle dell'OS.
Tipo le app piratate.

Ma comunque contare i bug significa poco in sè per dire chi è più sicuro e chi no. Bisogna tenere conto della velocità di sviluppo e della velocità di correzione dei bug.

Windows e OSX non è che siano sotto tutto sto forte sviluppo, stanno principalmente cincischiando con l'interfaccia grafica, mentre linux è in forte e costante sviluppo, quindi è normale che vengano scoperti più bug di un sistema più statico, visto che a forza di aggiungere roba, aggiungi anche dei bug.

Sulla velocità di correzione dei bug di sicurezza, Linux è sempre stato buono, Windows ci si è allineato da tempo, OSX/iOS non è mai stato un granchè, Android viene aggiornato con la stessa frequenza di un sistema embedded, cioè raramente o mai a parte poche compagnie illuminate che ci tengono.

L'articolo sorgente, che non deve sensazionalizzare i risultati quindi spalare melma in giro, conclude l'update con

[I]To conclude, the aim of the article is not to blame anyone – Apple or Linux or Microsoft. The message I am trying to get across is that all software products have vulnerabilities. The frequency of security updates increases with the product’s popularity. At GFI we would like the people to use the information as a guide and to show which areas to pay more attention to when patching their systems. At the end of the day, however, an IT admin’s attention should be on ALL products in his network and not limited to those at the top of the vulnerability list; neither should the assumption be made that those further down the list are safer. Every software product can be exploited at some point. Patching is the answer and that is the key message.[/I]

Questa è l'unica cosa che mi fa rimpiangere un prodotto Apple.
Nexus per quanto aggiorna? Io sapevo almeno due anni, o sbaglio?

IMHO, Google deve scavalcare quasi totalmente i produttori. Non ho capito perché se devono far soldi, gli va bene un jelly bean... (mi fanno accedere al play store no?), ma poi non mi danno sicurezza.
Si danno una calmata con le versioni, e aggiornano i terminali anche JB/KK/LP attraverso il Play Store. Fossi il legislatore...

Sempre buone notizie per chi usa Android, un altro bug che verrà risolto solo sui nexus e su qualche modello di punta di qualche produttore. In pratica il 99% dei terminali sarà a rischio.. Inizio a valutare seriamente il lato oscuro (Microsoft).. Credo che il problema di fondo di Android è che è stato strutturato male, Google non ha nessun controllo sui dispositivi non nexus, (in compenso ha il pieno controllo dei nostri dati personali), quindi anche una libreria generica, non legata ad una marca /terminale /hardware, non può essere aggiornata direttamente da Google mentre programmi inutili preinstallati vengono aggiornati continuamente. Questa è una merd@t@ colossale. Il problema non è il numero dei bug gravi che su Linux e Windows vengono rapidamente risolti e aggiornati, ma il fatto che sui terminali Android produttori e google se ne lavano le mani e si passano la palla tra loro..