Molti produttori di dispositivi Android propongono aggiornamenti di sicurezza ma, stando a quanto riportato da Wired, che a sua volta cita uno studio di Security Research Labs (SRL), tanti produttori di smartphone Android mentono sulle patch effettivamente integrate nel sistema.
SRL lo dice a ragione. Ha testato 1200 smartphone di oltre una dozzina di produttori verificando su quali telefoni erano state installate patch rilasciate nel 2017. Tra i dispositivi testati, telefoni di Google, Samsung, Motorola, LG, HTC, Xiaomi, OnePlus, Nokia, TCL e ZTE.
Lo studio dimostra che, esclusi i Pixel di Google, in tutti gli altri dispositivi sono assenti patch che i produttori hanno affermato di avere integrato. Il numero di patch di sicurezza assenti varia da dispositivo a dispositivo. Nel caso di Google, Samsung e Sony mancano da 0 a 1 patch di media; nel caso di Xiaomi, OnePlus e Nokia mancano mediamente da 1 a tre patch; per quanto riguarda HTC, Huawei, LG e Motorola mancano da 3 a 4 patch di media. I dispositivi messi peggio sono quelli di TCL e ZTE, sui quali sono assenti mediamente 4 o più patch importanti.
Wired ha chiesto un commento a Google e un portavoce di quest’ultima ha spiegato che molti dispositivi non sono certificati Android, in altre parole non tenuti a rispettare gli standard di sicurezza previsti da Google. Big G afferma ancora che il suo sistema operativo integra funzionalità di sicurezza che rendono complessi possibili hack e che in altri casi vari produttori potrebbero avere rimosso funzionalità rendendo inutile l’applicazione di alcune patch.
“Abbiamo avviato indagini per ciascun caso e ogni OEM per adeguare i dispositivi certificati in conformità nei casi nei quali siamo riusciti a riprodurre le loro conclusioni” ha fatto sapere Google, spiegando ancora che “ciascun caso richiede ulteriori esami”.
Come abbiamo spiegato altre volte, uno dei punti deboli di Android è l’assenza di un sistema centralizzato di aggiornamenti per il sistema operativo. I produttori rilasciano update a loro discrezione, seguendo processi spesso lunghi, con la conseguenza che gli utenti ricevono gli aggiornamenti a mesi o addirittura anni di distanza (e in alcuni casi neanche mai) rispetto al rilascio da parte del team Android.
