Alcuni Android Android hanno scoperto di mentire sulle patch di sicurezza [aggiornamento]

Aggiornamento, 13 aprile: Google ha dato la seguente dichiarazione al Verge:

Vorremmo ringraziare Karsten Nohl e Jakob Kell per i loro continui sforzi per rafforzare la sicurezza dell'ecosistema Android. Stiamo collaborando con loro per migliorare i loro meccanismi di rilevamento per tenere conto delle situazioni in cui un dispositivo utilizza un aggiornamento di sicurezza alternativo anziché l'aggiornamento di sicurezza suggerito da Google. Gli aggiornamenti di sicurezza sono uno dei tanti livelli utilizzati per proteggere i dispositivi e gli utenti Android. Le protezioni integrate della piattaforma, come sandboxing delle applicazioni e servizi di sicurezza, come Google Play Protect, sono altrettanto importanti. Questi livelli di sicurezza, combinati con l'enorme diversità dell'ecosistema Android, contribuiscono alle conclusioni dei ricercatori secondo cui lo sfruttamento remoto dei dispositivi Android rimane difficile.

Le patch perse rendono sicuramente il tuo telefono più vulnerabile rispetto a quelli aggiornati, ma anche così, ciò non significa che non sei completamente protetto. Le patch mensili aiutano sicuramente, ma esistono misure generali per garantire che tutti i telefoni Android abbiano un certo livello di sicurezza avanzata.

Una volta al mese, Google aggiorna il Bollettino sulla sicurezza di Android e rilascia nuove patch mensili per correggere vulnerabilità e bug non appena compaiono. Non è un segreto che molti OEM sono lenti ad aggiornare il proprio hardware con tali patch, ma ora è stato scoperto che alcuni di loro affermano di aver aggiornato i loro telefoni quando, in realtà, non è cambiato nulla.

Questa rivelazione è stata fatta da Karsten Nohl e Jakob Lell dei Security Research Labs e le loro scoperte sono state recentemente presentate alla conferenza sulla sicurezza Hack in the Box di quest'anno ad Amsterdam. Nohl e Lell hanno esaminato il software di 1200 telefoni Android di Google, Samsung, OnePlus, ZTE e altri e, facendo ciò, hanno scoperto che alcune di queste aziende cambiano l'aspetto della patch di sicurezza quando aggiornano i loro telefoni senza installarli.

Il Samsung Galaxy J3 del 2016 ha affermato di avere 12 patch che semplicemente non erano installate sul telefono.

Alcune delle patch perse dovrebbero essere fatte per caso, ma Nohl e Lell si sono imbattuti in alcuni telefoni in cui le cose non si sono sommate. Ad esempio, mentre il Samsung Galaxy J5 del 2016 ha elencato accuratamente le patch che aveva, il J3 dello stesso anno sembrava avere ogni singola patch dal 2017 nonostante ne mancasse 12.

La ricerca ha anche rivelato che il tipo di processore utilizzato in un telefono può avere un impatto sul fatto che venga aggiornato o meno con una patch di sicurezza. È stato riscontrato che i dispositivi con chip Exynos di Samsung hanno pochissime patch ignorate, mentre quelli con quelli MediaTek hanno avuto una media con 9.7 patch mancanti.

Dopo aver esaminato tutti i telefoni durante i loro test, Nohl e Lell hanno creato un grafico che delineava quante patch mancavano agli OEM ma sostenevano di aver installato. Aziende come Sony e Samsung hanno perso solo tra 0 e 1, ma TCL e ZTE hanno saltato 4 o più.

• 0-1 patch perse (Google, Sony, Samsung, Wiko)
• 1-3 patch perse (Xiaomi, OnePlus, Nokia)
• 3-4 patch perse (HTC, Huawei, LG, Motorola)
• 4+ patch perse (TCL, ZTE)

Poco dopo l'annuncio di questi risultati, Google ha affermato che avrebbe avviato indagini su ciascuno degli OEM colpevoli per scoprire cosa sta succedendo esattamente e perché gli utenti vengono mentiti su quali patch fanno e non hanno.

Anche con questo detto, cosa ne pensi di questo? Sei sorpreso dalle notizie e questo avrà un impatto sui telefoni che acquisti in futuro? Suona nei commenti qui sotto.

Perché sto ancora usando un BlackBerry KEYone nella primavera del 2018