Android, un miliardo di dispositivi sono a rischio?
Sistemi operativi obsoleti e falle nella protezione. Chi è il colpevole?
Non è la prima volta che parliamo di uno dei fondamenti base della sicurezza informatica, la necessità di mantenere software e hardware costantemente aggiornati alle ultime patch di sicurezza disponibili. Quindi la notizia che arriva dagli Stati Uniti dovrebbe preoccupare e non poco.
Secondo il magazine Which? oltre un miliardo di dispositivi Android sono vulnerabili ai criminal hacker e a malware di vario genere in quanto non ricevono aggiornamenti di sicurezza da lungo tempo. I dati, ottenuti da Google, hanno rilevato che oltre il 40 per cento degli utenti attivi di Android è ancora rimasta sulla versione 6.0 firmware o precedente. La versione più attuale di Android è la versione 10, mentre Android 9.0 Pie e Android 8.0 Oreo continuano a ricevere aggiornamenti. Si prevede, inoltre, che lo sviluppatore rilascerà un importante aggiornamento del sistema operativo mobile più popolare al mondo, Android 11, nel corso di quest'anno.
Da Android 8.0 in giù solo problemi
Ciò significa che tutto ciò che è al di sotto di Android 8.0, quindi, è vulnerabile. Estrapolando dai dati, è facile dedurre quindi che quasi un miliardo di telefoni Android siano intrinsecamente vulnerabili. Il problema è costituito dalla proliferazione di dispositivi più vecchi su siti come Amazon, dove vengono venduti da terzi.
Durante l’indagine di mercato, la rivista ha acquistato una manciata di telefoni e ha scoperto che sono suscettibili a una serie di vulnerabilità scoperte da tempo, tra cui Stagefright, Bluefrag e il malware Joker Android. L’allarme è stato dato, quindi per chi possedesse questo tipo di smartphone più vecchi che non possono aggiornarsi, è fortemente consigliato prendere precauzioni sensate - come evitare le applicazioni caricate lateralmente e garantire il backup dei loro dati. Naturalmente, non c'è una panacea. La semplice esistenza di una patch non significa necessariamente che i produttori li invieranno a valle dei dispositivi in modo tempestivo o, in effetti per questi dispositivi obsoleti, non lo faranno affatto.
Buoni e cattivi
Google si impegna a fornire aggiornamenti di sicurezza mensili ai suoi telefoni Pixel. Oltre a questo, ci sono anche telefoni rilasciati nell'ambito del programma Android One, che garantisce ai dispositivi di ricevere almeno tre anni di aggiornamenti di sicurezza, oltre a due aggiornamenti del sistema operativo.
Nokia è forse il miglior esempio di un fornitore che è salito sul carrozzone di Android One. Non sorprende quindi che lo scorso agosto, l’azienda sia stata classificata come il primo produttore per la fornitura di aggiornamenti dei dispositivi, con il 96% dei dispositivi venduti dal terzo trimestre del 2018 sull'ultima e più recente versione di Android. Seguono da vicino Samsung e Xiaomi, che hanno avuto rispettivamente l'89 e l'84 per cento dei loro utenti sull'ultima versione.
In definitiva, questo problema è dovuto al fatto che Android è sempre stato completamente frammentato. Fin dalla sua nascita, Google ha permesso ai fornitori di avere quasi libero sfogo. Ciò è in netto contrasto con Apple, nota per il suo stretto controllo della sua piattaforma iPhone. E se da un lato l'approccio di Google ha permesso un ampio senso di differenziazione nel mercato degli smartphone, dall'altro ha avuto un costo per i consumatori. I produttori possono determinare il ciclo di vita di un telefono e per quanto tempo deve ricevere aggiornamenti. Minori sono gli aggiornamenti, meno devono spendere in termini di ore di persone. Non è quindi una richiesta fuori da ogni logica chiedere ai produttori di esercitare una maggiore trasparenza e di indicare esplicitamente per quanto tempo i loro dispositivi riceveranno aggiornamenti software critici. È in effetti molto preoccupante che i dispositivi Android abbiano una durata così breve prima di perdere il supporto di sicurezza, lasciando milioni di utenti a rischio di gravi conseguenze se cadono vittime di Criminal Hacker.
Google – in primis – e i produttori di telefoni devono essere all'avanguardia per quanto riguarda gli aggiornamenti di sicurezza, con informazioni chiare su quanto tempo dureranno i periodi di supporto aggiornamenti e cosa dovrebbero fare i clienti quando si esauriscono. Il mondo della Cyber Security e del Cyber Risk è sempre più mobile, il 50 per cento degli attacchi oggi hanno come target proprio gli smartphone.
Non è più accettabile né tantomeno sostenibile continuare con queste pratiche discontinue e frammentarie…