L'American Civil Liberties Union ha pubblicato oggi un reclamo (pdf) che ha presentato alla Federal Trade Commission, chiedendo un'indagine sulla pratica dei principali vettori statunitensi di aggiornare - o, più precisamente, non aggiornando regolarmente - gli smartphone che essi vendere per motivi di sicurezza. "Smartphone Android", recita il reclamo di 16 pagine, "che non ricevono aggiornamenti di sicurezza rapidi e regolari sono difettosi e irragionevolmente pericolosi".
Chris Soghoian, principale tecnologo e analista senior di politica per la ACLU su discorso, privacy e tecnologia, ha seguito in un post sul blog, spiegando:
Il sistema operativo Android di Google ha ora oltre il 75% del mercato degli smartphone, eppure la maggior parte di questi dispositivi esegue software obsoleti, spesso con vulnerabilità di sicurezza note e sfruttabili che non sono state patchate. Per i consumatori che utilizzano questi dispositivi, non esiste un percorso di aggiornamento software legittimo.
In questione è il processo in cui il processo funziona. Google fornisce il codice Android, inclusi gli aggiornamenti per bug e correzioni di sicurezza, ma spetta ai produttori di hardware implementare eventuali modifiche e ai corrieri di approvare e infine ottenere tali modifiche. È un processo lungo e disordinato che nessuno è sembrato in grado di migliorare con alcun effetto reale - almeno non per la soddisfazione dell'ACLU, o una minoranza ma fazione vocale del pubblico acquirente.
L'ACLU, oltre a cercare un'indagine su artisti del calibro di Verizon, Sprint, T-Mobile e AT&T, richiede specificamente diverse cose:
- Per i gestori di "avvisare tutti gli abbonati che utilizzano smartphone Android forniti dal gestore con vulnerabilità di sicurezza note e senza patch circa l'esistenza e la gravità delle vulnerabilità, nonché qualsiasi misura ragionevole che i consumatori possano adottare per proteggersi, incluso l'acquisto di uno smartphone diverso". Nascosto nell'altro leagalese che viene lanciato da qualsiasi scatola di smartphone, probabilmente non farebbe molta differenza. Ma immagina se sul tuo telefono ci fosse fondamentalmente un grosso adesivo hazmat.
- Consentire ai clienti che hanno contratto di terminare tale contratto in anticipo (senza penalità) se il proprio telefono "non ha ricevuto aggiornamenti di sicurezza tempestivi e regolari". Questo è ancora relativamente aperto, sebbene certamente si applicherebbe ad alcuni dei dispositivi più di fascia bassa là fuori.
- Offri un rimborso o uno scambio (compresi i produttori e le piattaforme di commutazione) a un altro dispositivo che riceve "aggiornamenti rapidi e regolari".
Questi problemi di aggiornamento non sono a livello di piattaforma, ovviamente. I telefoni più popolari e di fascia alta tendono a ricevere più attenzione. E i telefoni "Nexus" di Google, tranne Galaxy Nexus su Sprint o Verizon, sono immuni a questo, ricevendo aggiornamenti direttamente da Google e non dai gestori. L'ACLU rileva correttamente tutto ciò.
Mentre apprezziamo l'ACLU che tenta di tenere i proverbiali piedi dei vettori sul fuoco, la lamentela dell'ACLU si limita a porre le stesse domande che chiunque conosca abbia fatto numerosi cicli di upgrade ora. Principalmente,
- Che cos'è un aggiornamento "prompt"? Abbiamo visto implementare correzioni di sicurezza su più corrieri in un mese. Abbiamo visto altri aspettare grandi rilasci di manutenzione. Chi può decidere cosa è "prompt?"
- Che cos'è un programma di aggiornamento "regolare"?
- Che cosa è realistico, tecnicamente e finanziariamente, per gli aggiornamenti "rapidi" e "regolari"? Non esiste parità nel mondo degli smartphone.
- C'è qualcosa che Google o i singoli produttori possono fare per accelerare il processo di aggiornamento?
E quelli sono appena in cima alla nostra testa. Ancora una volta, concordiamo con l'ACLU che la sicurezza - e gli aggiornamenti della sicurezza - sono della massima importanza. E che l'ACLU stia sollevando l'inferno è una buona cosa, anche se la FTC non è tenuta a fare davvero nulla. Molti di noi dovrebbero farlo, che si tratti di petizioni, reclami formali - o con il nostro metodo preferito, votando con il tuo portafoglio.
