Diversi produttori mentono sulle patch di sicurezza di Android

Terremoto nel ramo delle patch di sicurezza per Android. Da una ricerca svolta da Security Research Labs è emerso che diversi produttori di smartphone Android stanno mentendo sulle correzioni apportate ai loro dispositivi, millantando livelli di patch mai realmente raggiunti e “dimenticandosene” qualcuna per strada.

Riprendendo quanto riportato da Wired, i ricercatori di Security Research Labs Karsten Nohl e Jakob Lell hanno analizzato i dispositivi Android per verificare che le patch avessero realmente installato le correzioni in esse contenute, attraverso due anni di cosiddetto “reverse engineering” (ingegneria inversa); ebbene, a quanto pare i risultati di questi studi non sono molto positivi.

I due hanno scoperto che molti dispositivi soffrono di “patch gap“: il software afferma di avere incluse patch di sicurezza aggiornate fino a un certo livello/mese, ma in realtà il produttore ha saltato alcune correzioni di sicurezza, in certi casi fino a una dozzina.

SRL ha analizzato i firmware di circa 1200 dispositivi di marchi come Google, Samsung, Sony, HTC, Motorola, OnePlus, Xiaomi, Huawei, LG, ZTE e TCL: diversi smartphone anche di Samsung e Sony sembrano mancare di qualche patch. Il problema è che, mentre gli smartphone di questi ultimi due marchi tendono a “scordarsi” un’occasionale patch, per altri modelli, come Huawei, LG e peggio ancora ZTE e TCL, la situazione risulta ben più grave (tabella in basso). Lato SoC (seconda tabella) sembra proprio che siano i MediaTek a fare la figura peggiore.

Ovviamente tutto questo non va bene e Google ha dichiarato di aver già avviato indagini sulla questione. In alcuni casi, spiega Big G, le patch possono essere state omesse dai produttori a causa della mancanza delle funzionalità corrispondenti, ma è chiaro che la compagnia deve chiarire una volta per tutte la situazione, effettuando controlli maggiori sui dispositivi certificati e chiedendo spiegazioni agli OEM.

Se un produttore non include tutte le correzioni di un dato livello di patch di sicurezza, dovrebbe essere sincero con gli utenti e non “inserire il numerino” tanto per farlo contento e fornire un, a questo punto falso, senso di sicurezza. Se volete fare qualche verifica, sul Play Store è disponibile l’applicazione SnoopSnitch, in grado di effettuare un test per rilevare se sul vostro dispositivo risulta mancare qualche patch dichiarata: potete scaricarla seguendo il badge qui in basso.

Android app sul Google Play

Vai a: patch di sicurezza su Android, cosa sono e perché sono importanti

Fonte: Theverge, Wired

Commenti

Ti invitiamo ad usare toni consoni e di rimanere in tema all'argomento trattato, in caso contrario, il sistema automatico potrebbe oscurare il tuo messaggio e potrebbero trascorrere fino a 48h per la verifica ed un'eventuale autorizzazione.
TuttoAndroid si riserva comunque il diritto di allontanare le persone non adatte a tenere un comportamento corretto e rispettoso verso gli altri.

  • Mario Oli

    Huawei P10 Lite FERMO a SETTEMBRE 2017 VERGOGNOSI che skifo di cell.non si connette con bluetooth a Garmin Vivoactive ,con Polar v650 peggio,wifi funziona quando ne ha voglia .Mai più huawei

  • Shalashaska

    Nessuna patch mancante.

  • Lorenzo Ori

    Adesso rido, possessori di Xiaomi, Oneplus è giunto il momento di verificare se realmente avete le patch corrette LOL

    Adesso rido io

    • Arturo Dinatale

      Xiaomi Mi Note 3 con rom xiaomi.eu weekly del 29 Marzo, e patch del 1 Marzo.
      104 Patch presenti, 2 Patch mancanti, entrambe di Gennaio 2007 (e potrebbero mancare perchè le funzioni che patcha non ci sono sul sistema), 16 con “Test Inconclusive”.
      Ridi?

    • jacky72

      Oneplus 5…nessuna patch mancante…quindi?

      • Lorenzo Ori

        Ehm con oxygen o con custom rom ?

        • jacky72

          Oxygen

          • Lorenzo Ori

            Ma Oxygen deve ancora riceve una stock con le patch di aprile

          • jacky72

            Meglio averle fino a dicembre…ma almeno tutte.

          • Lorenzo Ori

            E come mai BQ Aquaris X è aggiornato ad Aprile 2018 (5 Aprile) ?

            Vabbe dai stiamo parlando del telefono che inviava i dati verso server cinesi per cui manco dovresti parlare di sicurezza LOL

          • jacky72

            Ciao

    • Sapevo che avrei trovato il commentino contro OnePlus. Ma c’avete proprio il vizietto eh?

      • Lorenzo Ori

        Be insomma il vostro dio carl pei che inviava e forse invia ancora dati in china

        Io non dimentico

      • Lorenzo Ori

        E i dati inviati in china ?

        • jacky72

          Tu hai Facebook ed un account Gmail, vero?

          • Lorenzo Ori

            Non ho facebook ne gmail.

            Per le mail uso prontonmail, ovviamente l’OS che uso su Pixel 2 è CopperHead OS

        • Eccetera eccetera

          • Lorenzo Ori

            Inserito appositamente nelle open beta che non sono altro che rom rilasciate senza nessuna verifica ma anche questo è Oneplus

            #community

          • Hai versato tutto? Se vuoi puoi continuare

          • Lorenzo Ori

            Classico fanboy legato a oneplus solo per il prezzo

          • A me te sembri il classico hater di oneplus, quasi l’incarnazione di uno stereotipo, ma ti lascio continuare a vomitare qualche altro luogo comune che hai dimenticato

          • Lorenzo Ori

            “Giú le mani da Oneplus”

            Chi mi offre la possibilitá di far parte della loro grandissima community di babbi sfruttati dallo stesso OEM per l’invio di dati personali verso server cinesi ?
            (È stato fatto all’incirca 4-5 volte)

            Chi mi offre la possbilitá di non guardare Netflix o altri servizi legati ai drm WV perchè è necessario l’invio del device presso un centro d’assistenza ?

            Chi ritarda Project Treble presentando Oneplus 5 con Nougat quando Oreo era presente da 4 mesi in modo da killare il device come solo loro sanno fare ?

            Perchè non è stato aggiornato OP2 ad Oreo ? Il branch per lo sviluppo è disponibile ma in Oneplus sanno come sfruttare la loro community

    • Nathan Giovannini

      Su Xiaomi mi max 2 con la global beta ne mancano due e le patch sono quelle di marzo. Quelle che mancano risalgono al 2012

      • Lorenzo Ori

        A parte che ci sarebbe da parlare anche della sicurezza lato rom visto che esistono 500 versioni di questa MIUI che possono essere modificate da chiunque senza nessuna verifica.
        È la stessa medesima tipologia di attacco usata per caricare versioni fake di Ccleaner all’interno dei server di Avast

        Per caso, chi ti certifica che all’interno delle mille rom repacked di Xiaomi sia tutto nella norma ? Ti ricordo che parecchi device furono spediti con fake miui rom

        • Nathan Giovannini

          Certo ma di certo vai ad installare le rom rilasciate da xiaomi o al massimo la. UE o la. It

          • Lorenzo Ori

            Sono sempre repacked, l’unica certezza è l’install tramite fastboot inoltre installando le MIUI non si hanno gli update a bootloader, baseband e altri componenti presenti all’interno del device

    • Gianluca Guttilla

      Oneplus rilascia le patch di sicurezza molto lentamente, è forse l’unica cosa che mi ha dato sempre fastidio da possessore di oneplus.
      Nella stabile ancora ci sono le patch di dicembre su op5… Solo nella beta ci sono le ultime di aprile.
      Però questo mi fa pensare che sono “onesti” da questo punto di vista.
      Se mentissero penso che avrebbero inserito almeno una finta patch di sicurezza da dicembre ad oggi… Non trovi?

      • Lorenzo Ori

        No, non trovo perchè usano una base di sviluppo qcom non proprio aggiornatissima che contiene parecchie vulnerabilitá proprietarie lato cpu/wlan che andrebbero risolte

  • Huawei.

    Detto tutto.

  • Luigi De Francesco

    Xperia xz, nessuna patch mancante. Sono correttamente quelle del 4
    1 aprile. Non so quali dispositivi abbiano provato…

    • Max

      LG G6 ne mancano 6 se nn sbaglio.

  • davide

    Chissà perché questa notizia non mi stupisce affatto… Vogliamo Project Treble per tutti!

    • Lorenzo Ori

      Treble non serve a nulla per le patch di sicurezza

Top