Forse in pochi lo hanno notato, ma quello di luglio è stato il primo bollettino di sicurezza di Android nel quale non era presente alcuna vulnerabilità. Android è diventato così sicuro e affidabile? In realtà, questa anomalia (un evento mai registrato da quando Google ha iniziato a pubblicare i bollettini mensili nel 2015) segnala un cambiamento importante nella gestione degli aggiornamenti di sicurezza per Android. Da Mountain View, infatti, stanno introducendo un nuovo sistema che si concentra sul rischio reale delle vulnerabilità invece che sul semplice accumulo mensile di patch di sicurezza. La novità, finora non annunciata ufficialmente ma confermata da più fonti vicine all’azienda, è emersa proprio a partire dal bollettino di luglio.
Segui Google Italia su Telegram, ricevi news e offerte per primo
Il nuovo approccio di Google
Questa apparente “assenza di problemi” non significa che non ci fossero vulnerabilità, ma riflette una svolta strategica. Google ha infatti deciso di introdurre il cosiddetto Risk-Based Update System (RBUS), un sistema che cambia profondamente la logica di distribuzione degli aggiornamenti per Android. Sostanzialmente, gli aggiornamenti mensili ora includono solo le vulnerabilità considerate ad alto rischio, cioè quelle che richiedono un intervento immediato perché potenzialmente sfruttate in attacchi reali o perché parte di attacchi già noti. Tutte le altre patch vengono invece raggruppate nei bollettini trimestrali, rendendo le pubblicazioni di marzo, giugno, settembre e dicembre più ricche di contenuti.
La conseguenza diretta di questo nuovo approccio è una maggiore flessibilità per i produttori di smartphone, che da anni faticano a distribuire puntualmente gli aggiornamenti mensili, soprattutto su dispositivi economici o venduti tramite operatori telefonici. Grazie al sistema a rischio, i produttori devono gestire un numero inferiore di patch ogni mese, cosa che potrebbe facilitare una distribuzione più costante e, in alcuni casi, persino più frequente degli aggiornamenti. Parallelamente, i produttori possono concentrare le proprie risorse sugli aggiornamenti trimestrali, che diventano il vero momento centrale della manutenzione della sicurezza dei dispositivi Android.
Per gli utenti finali, questo cambiamento sarà quasi invisibile, almeno per chi riceve già aggiornamenti mensili. Chi invece è abituato a riceverli con meno regolarità potrebbe trarre vantaggio da un miglioramento nella puntualità degli aggiornamenti, almeno nei momenti critici dell’anno. I bollettini mensili, però, potranno risultare vuoti nei casi in cui non siano state rilevate vulnerabilità ad alto rischio, proprio come accaduto a luglio. Alcuni produttori, come Samsung, hanno comunque rilasciato aggiornamenti in quel mese, ma senza poter pubblicare i dettagli delle vulnerabilità corrette, seguendo le direttive imposte da Google.
Le criticità di questo nuovo approccio
Come spesso accade, al netto di significativi miglioramenti sono comunque presenti dei limiti. Un aspetto sottolineato da realtà come GrapheneOS, progetto open source focalizzato sulla privacy, riguarda il rischio legato alla gestione dei bollettini privati. Mentre prima i produttori ricevevano un preavviso di circa un mese, ora vengono informati con diversi mesi di anticipo per i bollettini trimestrali. Sebbene queste informazioni vengano trasmesse in modo sicuro, il fatto che siano accessibili a migliaia di ingegneri in tutto il mondo apre la possibilità, anche se solo teorica, che alcuni dettagli possano trapelare e finire nelle mani sbagliate. Una fuga di informazioni in anticipo potrebbe offrire agli hacker il tempo necessario per costruire attacchi mirati, da utilizzare prima che le patch siano effettivamente distribuite.
Un’altra conseguenza di questa strategia riguarda il mondo del modding. Google ha infatti smesso di pubblicare il codice sorgente degli aggiornamenti mensili, rilasciandolo solo per quelli trimestrali. Questo rende più difficile per gli sviluppatori di ROM personalizzate, come LineageOS, integrare tempestivamente le patch di sicurezza. In un periodo in cui le possibilità di personalizzazione di Android stanno già subendo restrizioni, questa scelta rischia di penalizzare ulteriormente una parte dell’ecosistema che ha storicamente contribuito alla crescita e all’innovazione del sistema operativo.
