Patch di sicurezza su Android, cosa sono e perché sono importanti

Oltre agli aggiornamenti rilasciati generalmente una volta all’anno (per le major release), Google distribuisce ogni mese nuove patch di sicurezza per il sistema operativo Android; ne avete sentito parlare spesso, ma non avete idea di cosa siano esattamente? Siete capitati nella pagina giusta, perché proseguendo nella lettura potrete scoprire diversi dettagli sulle patch di sicurezza per i vostri smartphone.

Cosa sono le patch di sicurezza

Partiamo appunto dall’inizio: cosa sono le patch di sicurezza e perché sono così importanti? Per rendere Android sempre più sicuro, Google distribuisce periodicamente aggiornamenti contenenti correzioni delle varie vulnerabilità scovate nel sistema operativo. La casa di Mountain View non si limita però a inviarle ai suoi dispositivi (come Nexus e Pixel), ma le distribuisce anche ai suoi partner, ossia gli altri produttori (come Samsung, Huawei, LG, Sony, etc.etc.), in modo che pure questi abbiano modo di correggere le falle.

Google ha separato la parte legata alla sicurezza dal resto del sistema operativo con l’avvento di Android 6.0 Marshmallow: si tratta senza dubbio di una buona idea in quanto permette di aggiornare il firmware senza dover necessariamente rilasciare update completi. In questo modo è possibile affrontare le vulnerabilità con maggiore rapidità ed efficienza.

Come funziona il programma

Il programma dedicato alle patch di sicurezza prevede principalmente tre fasi:

  1. Sviluppo
    • dopo aver identificato una vulnerabilità, autonomamente o con l’aiuto dei partner, altri ricercatori o utenti (grazie alla natura open source di Android), Google sviluppa l’aggiornamento e lo prepara per i test.
  2. Test
    • Google emette un bollettino di sicurezza nel quale spiega i cambiamenti e le correzioni adottate con le ultime patch: in questo modo i partner possono subito iniziare a testare i loro prodotti.
  3. Pubblicazione
    • dopo i vari test, il nuovo update arriva agli utenti via OTA direttamente (Nexus e Pixel) o tramite i vari partner; nel secondo caso è spesso necessaria un’attesa un po’ più lunga, in quanto i produttori devono adattare le correzioni alle varie personalizzazioni. In questa fase viene anche emesso un bollettino sulla sicurezza pubblico e viene rilasciato l’aggiornamento per l’Android Open Source Project (AOSP).

Livelli di severità delle vulnerabilità

Le vulnerabilità non sono tutte uguali e possono risultare di diversa entità: alcune possono essere sfruttate più “facilmente” di altre, oppure riguardare dati più sensibili, ed è per questo che nel bollettino di sicurezza vengono suddivise in categorie in base alla gravità:

  • CRITICA: livello più grave, coinvolge i processi iniziali e più profondi del sistema operativo; vanno sistemate il più in fretta possibile.
  • ALTA: viene bypassata la schermata di blocco; l’esecuzione del codice “malevolo” avviene all’insaputa dell’utente, con conseguente esposizione di alcuni dati conservati a livello locale; spesso permettono l’invio di dati a server non autorizzati attraverso processi nascosti all’interno dell’app. Si tratta del livello di vulnerabilità più comune.
  • MODERATA: la differenza con “alta” è costituita dalla tipologia dei dati a rischio; in questo caso risultano meno “importanti”: si tratta ad esempio della lista di app installate, del modello di smartphone o dell’operatore telefonico.

Perché non ricevo mai nuove patch di sicurezza?

Google si occupa della distribuzione diretta delle patch solo sui suoi dispositivi (Nexus e Pixel), mentre – come detto – sono i vari partner/produttori a badare ai loro smartphone. Se il vostro smartphone Android riceve raramente nuove patch di sicurezza (o magari quasi mai), la “colpa” non è di Big G, ma del produttore (Samsung, LG, Huawei, Sony e così via).

Questi devono infatti svolgere del lavoro per adattare le correzioni incluse nelle varie patch e non tutti sono disposti (o hanno risorse) per farlo su tutti i loro smartphone: per una panoramica sul comportamento “virtuoso” o meno dei vari produttori potete dare un’occhiata al prossimo paragrafo.

Quali sono i produttori più virtuosi?

Quali sono i produttori che più di altri si impegnano nel rilasciare patch di sicurezza sempre nuove? E quali invece si meriterebbero qualche “tirata di orecchie” da parte di Google (e degli utenti)? Alcuni dispongono di personalizzazioni più pesanti di altri, oppure di un numero di modelli considerevolmente maggiore, ma ciò non toglie che le correzioni siano importanti, e dunque i brand devono tenerne conto. Alcuni di essi “approfittano” delle patch per correggere bug o malfunzionamenti riscontrati sui loro device.

Proviamo a fare una valutazione generale dei produttori, assegnando un punteggio ad alcuni di loro in base al comportamento nei confronti delle patch di sicurezza (ultimo aggiornamento dicembre 2017).

  • A+
    • Sony: spesso la più rapida a rilasciarle, quasi tutta la gamma è aggiornata a patch di sicurezza almeno di settembre (e diversi modelli già a quelle di dicembre).
    • Nokia: tutta la gamma è aggiornata alle patch di novembre o dicembre.
  • A
    • Samsung: gli smartphone 2016 e 2017 sono tutti aggiornati almeno ad agosto; salendo come fascia i top di gamma ricevono update praticamente ogni mese (ora sono alle patch di dicembre).
    • Xiaomi: non ha il problema dei dispositivi brandizzati e questo facilita le cose; smartphone 2016-2017 aggiornati almeno a ottobre/novembre.
  • A-
    • Huawei: situazione buona per i no brand, con dispositivi aggiornati almeno a settembre; i problemi sono per i device brandizzati: smartphone della gamma P9 fermi a giugno.
    • Motorola/Lenovo: situazione simile a Huawei, ma inversa, con dispositivi brandizzati spesso più aggiornati dei no brand.
    • OnePlus: smartphone aggiornati a patch piuttosto recenti (agosto/settembre/ottobre), con Oreo in distribuzione.
  • B
    • LG: bene gli smartphone di fascia alta, anche se il top di gamma LG G6 ha ricevuto un aggiornamento (patch di novembre) dopo mesi di attesa.
    • Honor: Honor 9 e Honor 8 entrambi con le patch di agosto, alcuni device risultano quasi abbandonati; serve qualche miglioramento.
    • HTC: pochi dispositivi sul mercato, ma per la loro qualità ci si aspetterebbe di più; HTC 10 è fermo a luglio.
    • ASUS: gamma ZenFone 3 e 4 aggiornati a ottobre/novembre, ma ZenFone 2 piuttosto indietro.
  • B-
    • Wiko: deve migliorare; gli smartphone 2017 sono alle patch di settembre, ma gli altri…
  • C
    • Meizu: non bene, smartphone con vecchie versioni di Android e patch antecedenti a giugno.
    • nubia: discorso simile per nubia, i cui dispositivi sono fermi a luglio o peggio.

Video

 

Notizie su Patch di sicurezza

Top