Google rilascia mensilmente ormai da anni le sue famose patch di sicurezza per Android, che risolvono tutte le falle che costantemente vengono a galla: del resto non è per nulla semplice rendere sicuro al 100% un sistema operativo così complesso e aperto come Android. Come se non bastasse sembra però che anche i produttori di smartphone di tutto il mondo ci stiano mettendo la loro: Kryptowire, un’azienda che si occupa di scovare falle di sicurezza nelle app Android, ne ha scovate ben 146, tutte “preinstallate” dai produttori.
Di chi si tratta? Sembrano colpevoli un po’ tutte le aziende, con la maggioranza che opera solamente in Asia, ma anche grandi nomi globali come Asus e Samsung non sono esenti da colpe. Google riconosce il problema ma le aziende non sembrano fare altrettanto e in alcuni casi rispondono affermando che le falle non sono affatto dei problemi di sicurezza. L’accesso non autorizzato ai microfoni, all’esecuzione di comandi di varia natura e alle impostazioni di sistema sono solo alcuni dei problemi presenti e anche se le compagnie affermano il contrario sono chiaramente da risolvere. Kryptowire per esempio ha trovato ben 33 vulnerabilità nei dispositivi di Samsung, di cui sei sono contenute nelle app preinstallate (due sviluppate da produttori di terze parti): secondo l’azienda il framework di sicurezza di Android basterebbe a renderle inoffensive, ma ciò non toglie che le vulnerabilità sono comunque presenti, aprendo la possibilità al loro eventuale sfruttamento.
Il fatto più grave rispetto ai soliti malware che infettano app di ogni genere è che in questo caso l’utente non ha scelta: infatti non ci sono applicazioni da disinstallare ne opzioni da disattivare, perché queste falle sono sotterrate nel codice aggiunto al sistema operativo dai produttori. Se succede qualcosa quindi la responsabilità è totalmente nelle mani delle aziende.
Per scovare le vulnerabilità il team di Kryptowire ha utilizzato un tool che permette di analizzare i dispositivi anche senza averli fisicamente a disposizione e che mette in atto una serie di test per minimizzare i falsi positivi, identificando in particolare “stati non sicuri”, come la possibilità di eseguire la registrazione non autorizzata di audio e video. Google da parte sua testa le applicazioni preinstallate con la sua Build Test Suite, che appena è stata lanciata nel 2018 ha identificato e prevenuto la pre-installazione di ben 242 app problematiche.
Uno dei problemi principali sembra essere l’origine di alcune delle centinaia di applicazioni preinstallate sui dispositivi Android: infatti molte di queste non sono programmate dai produttori stessi ma da compagnie di terze parti, con un conseguente aumento dei rischi per la sicurezza data la difficoltà di effettuare i dovuti test di qualità. Nonostante Samsung abbia dichiarato che le sue “falle” sono inoffensive, almeno si può dire che abbia indagato dopo essere stata interpellata da Kryptowire; le altre aziende però non hanno le stesse risorse del gigante sudcoreano ed è quindi plausibile che i problemi di sicurezza non verranno mai indagati e risolti, in particolare se si tratta di produttori lenti a rilasciare le patch di sicurezza mensili di Android.