QR code per la pagina originale

Patch Android, i produttori sono bugiardi

I ricercatori di Security Research Labs hanno scoperto che diversi produttori cambiano solo la data delle patch, senza installare gli aggiornamenti.

,

La frammentazione è il principale problema di Android. Molti smartphone non vengono aggiornati all’ultima versione del sistema operativo oppure ricevono l’update in ritardo. I ricercatori di Security Research Labs hanno scoperto un problema ancora più grave. Diversi produttori dichiarano il falso, affermando che sul dispositivo sono installate tutte le patch di sicurezza distribuite da Google.

I ricercatori Karsten Nohl e Jakob Lell hanno impiegato circa due anni per esaminare il codice del sistema operativo installato su 1.200 smartphone dei principali produttori mondiali (Google, Samsung, Huawei, Sony, LG, Motorola, HTC, ZTE, Xiaomi, OnePlus, Nokia, TCL e Wiko). Lo studio ha permesso di scoprire il cosiddetto “patch gap“: la data dell’ultima patch indicata nelle impostazioni di molti dispositivi non corrisponde a verità. In pratica non risultano installati tutti gli aggiornamenti di sicurezza. Diversi produttori hanno solo cambiato la data, probabilmente per ragioni di marketing.

Google, Samsung, Sony e Wiko sono i produttori più onesti, in quanto hanno installato tutte le patch o, al massimo, ne hanno saltata una. Sui modelli Xiaomi, OnePlus, Nokia, HTC, Huawei, LG e Motorola ne mancano invece fino a quattro. I produttori più bugiardi sono TCL e ZTE (oltre quattro patch mancanti). I ricercatori hanno notato che la mancanza di patch è correlata al processore installato. Gli smartphone con chip Samsung, Qualcomm e HiSilicon sono più aggiornati, mentre quelli con SoC MediaTek sono i peggiori (quasi 10 patch mancanti in media).

Google ha rilasciato un comunicato spiegando che alcuni dispositivi analizzati da Security Research Labs non hanno ricevuto la certificazione Android, quindi non rispettano gli standard di sicurezza. Altri invece non sono stati aggiornati perché il produttore ha rimosso la funzionalità vulnerabile. In ogni caso, il sistema operativo include specifiche protezioni che rendono difficile sfruttare le vulnerabilità. Per scoprire le patch mancanti è possibile utilizzare l’app SnoopSnitch di Security Research Labs.

Fonte: Wired • Immagine: PxHere