Terremoto nel ramo delle patch di sicurezza per Android. Da una ricerca svolta da Security Research Labs è emerso che diversi produttori di smartphone Android stanno mentendo sulle correzioni apportate ai loro dispositivi, millantando livelli di patch mai realmente raggiunti e “dimenticandosene” qualcuna per strada.
Riprendendo quanto riportato da Wired, i ricercatori di Security Research Labs Karsten Nohl e Jakob Lell hanno analizzato i dispositivi Android per verificare che le patch avessero realmente installato le correzioni in esse contenute, attraverso due anni di cosiddetto “reverse engineering” (ingegneria inversa); ebbene, a quanto pare i risultati di questi studi non sono molto positivi.
I due hanno scoperto che molti dispositivi soffrono di “patch gap“: il software afferma di avere incluse patch di sicurezza aggiornate fino a un certo livello/mese, ma in realtà il produttore ha saltato alcune correzioni di sicurezza, in certi casi fino a una dozzina.
SRL ha analizzato i firmware di circa 1200 dispositivi di marchi come Google, Samsung, Sony, HTC, Motorola, OnePlus, Xiaomi, Huawei, LG, ZTE e TCL: diversi smartphone anche di Samsung e Sony sembrano mancare di qualche patch. Il problema è che, mentre gli smartphone di questi ultimi due marchi tendono a “scordarsi” un’occasionale patch, per altri modelli, come Huawei, LG e peggio ancora ZTE e TCL, la situazione risulta ben più grave (tabella in basso). Lato SoC (seconda tabella) sembra proprio che siano i MediaTek a fare la figura peggiore.
Ovviamente tutto questo non va bene e Google ha dichiarato di aver già avviato indagini sulla questione. In alcuni casi, spiega Big G, le patch possono essere state omesse dai produttori a causa della mancanza delle funzionalità corrispondenti, ma è chiaro che la compagnia deve chiarire una volta per tutte la situazione, effettuando controlli maggiori sui dispositivi certificati e chiedendo spiegazioni agli OEM.
Se un produttore non include tutte le correzioni di un dato livello di patch di sicurezza, dovrebbe essere sincero con gli utenti e non “inserire il numerino” tanto per farlo contento e fornire un, a questo punto falso, senso di sicurezza. Se volete fare qualche verifica, sul Play Store è disponibile l’applicazione SnoopSnitch, in grado di effettuare un test per rilevare se sul vostro dispositivo risulta mancare qualche patch dichiarata: potete scaricarla seguendo il badge qui in basso.
