Ecco un segreto sporco: la maggior parte dei dispositivi Android non riceve mai aggiornamenti di sicurezza. Il novantacinque percento dei dispositivi Android può ora essere compromesso tramite un messaggio MMS, e questo è solo il bug di più alto profilo. Google non ha modo di applicare patch di sicurezza a questi dispositivi e i produttori e gli operatori non si preoccupano.
L'ecosistema Android sta diventando un inferno tossico di dispositivi senza patch pieni di falle di sicurezza. Per fare un confronto, quando iOS di Apple ha un buco di sicurezza, Apple può semplicemente aggiornare tutti gli iPhone supportati con una nuova versione. Anche i telefoni Windows sono migliori di Android qui.
Non è garantito che i telefoni Android ottengano aggiornamenti di sicurezza
RELAZIONATO: Perché il tuo telefono Android non riceve aggiornamenti del sistema operativo e cosa puoi fare al riguardo
Il recente Stagefright MMS bu g ci offre un buon caso di studio, dimostrando cosa succede quando qualcuno scopre una falla di sicurezza in Android. Google crea patch e le applica al codice del progetto open source Android principale. Google invia quindi queste patch ai produttori di hardware: Samsung, HTC, Sony, LG, Motorola, Lenovo e altri. Il coinvolgimento di Google finisce qui. Non possono costringere i produttori a rilasciare effettivamente queste patch . Questo spesso sembra essere dove finisce il processo.
Se un produttore desidera applicare queste patch, deve applicarle al codice Android di un dispositivo e creare una nuova versione di Android per quel dispositivo. Questo è un processo separato per ogni singolo telefono e tablet supportato dal produttore. Ogni produttore deve quindi contattare l'operatore tramite il quale ha venduto i telefoni e fornire ogni singola patch specifica per dispositivo a ciascun operatore nel mondo. Il coinvolgimento del produttore finisce qui. Anche se impazziscono e patchano ogni singolo dispositivo che stanno ancora supportando - molto improbabile - non possono costringere gli operatori ad applicare effettivamente queste patch
I vettori possono quindi scegliere di inviare la nuova build con patch di Android ai propri dispositivi o meno. Se lo fanno, ci sono buone probabilità che sia dopo un lungo periodo di test in cui le falle di sicurezza continueranno a rimanere. Anche se un operatore desidera farlo, ci sono buone probabilità che voglia solo testare l'aggiornamento su alcuni telefoni di punta e non sui dispositivi meno recenti.
In pratica, la maggior parte dei dispositivi Android non riceve gli aggiornamenti di sicurezza e rimane vulnerabile. Google non ha scelto di imporre la fornitura di aggiornamenti di sicurezza come fa rispettare altre cose nei contratti con i produttori. I produttori creano molti, molti dispositivi diversi e non vogliono fare il lavoro di aggiornarli tutti. I vettori spediscono molti, molti dispositivi diversi e non vogliono preoccuparsi di testarli. Piuttosto che fornire aggiornamenti e mantenere i vecchi telefoni, preferiscono spingere i clienti ad acquistare nuovi dispositivi. Quei buchi di sicurezza sono stati corretti nelle ultime build di Android, quindi un nuovo dispositivo sarà sicuro, almeno fino a quando non verranno trovati più buchi e non patchati.
Sì, la funzione "verifica aggiornamenti" sul tuo dispositivo Android controlla solo se sono presenti aggiornamenti approvati dal produttore e dall'operatore. Non è un modo affidabile per assicurarti di disporre di aggiornamenti di sicurezza.
Gli iPhone sono garantiti aggiornamenti di sicurezza tempestivi
RELAZIONATO: Avviso: il browser Web del tuo telefono Android probabilmente non sta ricevendo aggiornamenti di sicurezza
Il modello di aggiornamento Android è orribilmente rotto. Non si tratta solo di ricevere le funzionalità più recenti e migliori. Invece, non c'è modo di garantire di disporre delle patch di sicurezza correnti. Non c'è davvero nemmeno modo di dire esattamente quali falle di sicurezza sono state corrette nel tuo dispositivo, poiché dipendi dal produttore che aggiunge la patch alla build personalizzata di Android e la distribuisce sul tuo dispositivo.
Google ha cercato di evitarlo con Google Play Services, che si aggiorna automaticamente su tutti i dispositivi Android . Ma può fare solo così tanto. Tutti i dispositivi Android con Android 4.4.4 e versioni precedenti, ovvero la maggior parte dei dispositivi Android, attualmente avere un browser web pieno di falle di sicurezza perché Google non può aggiornarlo . E ora, quasi tutti i dispositivi Android possono ora essere compromessi con un MMS.
Davvero, questo è terribile. Immagina se i laptop Windows non avessero mai ricevuto aggiornamenti di sicurezza da Microsoft. Invece, Microsoft emetterebbe patch a Dell, Lenovo, HP e altri produttori. Il produttore potrebbe scegliere di patchare o meno, e se scegliesse di correggerlo, quella patch dovrebbe essere approvata dal negozio da cui hai acquistato il laptop prima di raggiungerti. Microsoft sarebbe giustamente rastrellata per questo. Microsoft rilascia invece una patch che viene fornita agli utenti di tutti i modelli di PC Windows tramite Windows Update. Anche il sistema operativo Chrome di Google funziona in questo modo senza che i produttori si intromettano.
Vuoi un'effettiva garanzia di aggiornamenti di sicurezza per il tuo smartphone? Devi praticamente comprare un iPhone, anche se anche i telefoni Windows di Microsoft sono più avanti di Android qui. Quando viene rilevata una falla di sicurezza in un iPhone, Apple può rilasciare una patch a tutti gli utenti di iPhone contemporaneamente - anche i corrieri non si intromettono .
Anche le autorizzazioni e i controlli sulla privacy sono migliori su iOS
RELAZIONATO: iOS ha anche le autorizzazioni per le app: e sono probabilmente migliori di quelle di Android
Le autorizzazioni delle app sono un altro caso in cui gli iPhone colpiscono i telefoni Android. Android ha iniziato alla grande, offrendo "autorizzazioni app": puoi vedere cosa richiede un'app prima di installarla e scegliere di non installarla. Gli iPhone ora hanno un sistema di autorizzazioni migliorato in cui puoi effettivamente scegliere e scegliere a quali dati può accedere un'app. Hai bisogno di utilizzare un'app, ma non vuoi concederle l'accesso ai tuoi contatti o ad altri dati sensibili? Puoi farlo su iOS.
Su Android, le autorizzazioni delle app sono più simili a richieste: prendilo o lascialo. Le app spesso richiedono molte più autorizzazioni di quelle di cui hanno realmente bisogno per funzionare e non sai mai se il gioco che hai installato sta caricando il tuo elenco di contatti su un server remoto. Google sta lavorando per aggiungere un controllo delle autorizzazioni alle versioni future di Android, ma è troppo poco, troppo tardi. Tali funzioni sono attualmente disponibili solo nelle ROM personalizzate di terze parti dopo Google ha rimosso la gestione delle autorizzazioni nascoste di Android r.
Gli iPhone ti danno effettivamente il controllo su ciò che le app possono fare sul tuo telefono , esponendo le autorizzazioni delle app come utili controlli sulla privacy che chiunque può comprendere. Questo aiuta a proteggere i tuoi dati privati. Su Android, dipende solo dall'app: puoi solo controllare se utilizzare quell'app o meno.
L'app store bloccato di Apple ha esagerato nel vietare tipi specifici di contenuto , ma consentire solo le app da una fonte approvata fornisce una protezione aggiuntiva contro il malware. La maggior parte del malware su Android proviene dall'esterno di Google Play, spesso quando un utente scarica un'app pirata e la installa. Questo non è possibile senza il jailbreak di un iPhone. Anche il processo di approvazione dell'app store iOS è un po 'più rigoroso, coinvolgendo una persona che prova effettivamente l'app piuttosto che un algoritmo automatizzato.
Google ha bisogno di risolvere questa situazione. È inaccettabile che la maggior parte dei dispositivi Android non riceva mai aggiornamenti di sicurezza e rimanga vulnerabile a un numero incalcolabile di falle di sicurezza. Molti dispositivi hanno anche bootloader bloccati, il che ti impedirebbe di correggere il bug da solo installazione di una ROM personalizzata .
Sì, Android è una piattaforma aperta con molti produttori coinvolti, ma lo è anche Windows. Google ha bisogno di mettere in ordine la sua piattaforma. Continueremo a vedere epidemie di sicurezza in continuo peggioramento in Android fino a quando l'intero ecosistema Android non inizierà a prendersi cura della sicurezza e diventerà in grado di risolvere i problemi di sicurezza in modo tempestivo e coerente, come ogni altro sistema operativo moderno.
Credito immagine: Indi samarjeevaon flickr
