Da quasi 5 anni Google è impegnata a rilasciare aggiornamenti di sicurezza a cadenza mensile. Queste non solo permettono di correggere importanti falle di sicurezza relative ad Android, ma offrono anche la base su cui aziende OEM basano il loro lavoro per correggere eventuali bug o per tappare falle relative ad un particolare modello di smartphone.

Le patch di sicurezza di Android vengono rilasciate ogni mese

Ogni vulnerabilità che viene scoperta dal team di Google o da aziende esterne – ricordiamo che Big G ha elargito 29 milioni di dollari per il programma bug bounty -, sono indicate sotto il nome di Common Vulnerabilities and Exposures (CVE) con tanto di numero, tipo di vulnerabilità, livello di gravità e molto altro.

Le patch di sicurezza di Android sono tutte caratterizzate da un nomenclatura standard che quasi sicuramente avrete avuto modo di incontrare molte volte utilizzando un dispositivo Android. Il formato è caratterizzato in questo modo:

  • YYYY-MM-01
  • YYYY-MM-05

Se i valori YYYY e MM fanno riferimento rispettivamente all’anno e al mese, i terminali “01” e “05” vanno ad indicare due tipi differenti di patch di sicurezza. Una patch di sicurezza con suffisso “01” indica che contiene fix per il framework Android ma non le patch relative ai vari vendor. Di contro, le patch di sicurezza con il terminale “05” fanno riferimento alle sopracitate patch del vendor così come al kernel Linux.

Ovviamente ogni azienda OEM ha la possibilità e la libertà di pubblicare i propri security bulletin a proprio piacimento. Questo permette ad esempio a Huawei di aggiungere uno specifico fix per i suoi smartphone che ovviamente non è presente all’interno delle patch di Samsung.

Timeline delle patch e cosa significa essere un “Android partner”

Tutte le patch di sicurezza vengono rilasciate in un arco temporale che spesso ricopre 30 giorni. Questo significa che, giorno più giorno meno, ogni 30 giorni avrete modo di installare una nuova patch di sicurezza. Se questo è valido ad esempio per gli smartphone Google Pixel e per pochi altri – ricordiamo la grande puntualità di Essential Phone così come di Samsung -, altri OEM possono decidere di prendersi più tempo prima di rilasciare l’update.

Perché? Alcuni OEM preferiscono attendere qualche giorno o settimana in più, per affiancare alle patch di sicurezza la presenza di qualche nuova feature. Le aziende che sono molto precise nel rilascio delle patch di sicurezza, come ad esempio Essential Phone, lo sono perché Android partner.

Questo significa che, le aziende OEM partner, oltre a poter sfruttare i GMS (Google Mobile Services) e a soddisfare una lunga lista di requisiti – Compatibility Test SuiteVendor Test SuiteGoogle Test Suite e tutti quelli presenti nel Compability Definition Document -, vengono notificate con almeno 30 giorni di anticipo prima che il bollettino di sicurezza venga reso pubblico.

Google inoltre si prende l’onere di inviare patch ad ogni OEM che ha il compito di testarle e unirle al codice di Android, il che permette alle aziende partner di avere molto tempo a disposizione per testare i fix.

Perché alcuni OEM ritardano l’invio delle patch di sicurezza

Come abbiamo già detto qualche riga più su, alcuni OEM tardano a rilasciare le patch di sicurezza mensili malgrado Google le invii sempre con grande anticipo. Di solito le aziende vanno incontro a questa serie di “intoppi” per il rilascio delle patch:

  • gli OEM devono superare rilevanti problemi tecnici per implementare i fix come ad esempio conflitti con il codice pre-esistente;
  • la certificazione da parte degli operatori telefonici può essere molto lunga;
  • le compagnie ritardano il rilascio delle patch per aggiungere feature aggiuntive.

Nonostante questi ritardi, ogni OEM è obbligato a rilasciare almeno quattro aggiornamenti di sicurezza entro il primo anno di vita del terminale Android, e garantire anche 2 anni di aggiornamenti complessivi.

Che succede se si utilizza una custom ROM

Spesso accade che uno smartphone non venga più supportato dall’azienda produttrice o che un utente voglia provare una custom ROM. Innanzitutto l’installazione di una custom ROM comporta lo sblocco del boatloader che, già di suo, può rappresentare un rischio alla sicurezza generale del dispositivo.

Nonostante ciò, un sistema come la LineageOS Trust Interface presenta due livelli di patch di sicurezza, una che riguarda la piattaforma e una che riguarda l’azienda produttrice dello smartphone. In questo caso il nostro consiglio è quello di puntare all’utilizzo di custom ROM recenti, ben consci però che non avrà lo stesso livello di aggiornamenti costanti garantiti da Android “puro”.