Patch di sicurezza tempestive e aggiornamenti software iOS senza soluzione di continuità sono tra i motivi principali per cui molti clienti Android passano a un iPhone.
Tuttavia, un nuovo sondaggio ha scoperto qualcosa di potenzialmente inquietante.
Wired ha citato oggi la società di sicurezza tedesca Security Research Lab che ha scoperto che molti venditori Android mentono ai clienti su importanti patch di sicurezza del sistema operativo modificando la data di aggiornamento della sicurezza sul dispositivo senza installare effettivamente alcuna patch.
Non è un segreto che Google abbia a lungo lottato per convincere gli OEM e i gestori a distribuire regolarmente patch di sicurezza per Android.
Dopo aver trascorso due anni ad analizzare gli aggiornamenti di Android, l'azienda ha scoperto che molti OEM Android non riescono a rendere disponibili le patch ai propri utenti o a ritardarne il rilascio per mesi.
E in alcuni casi, i fornitori dicono agli utenti che il firmware del loro telefono è completamente aggiornato anche se hanno segretamente saltato le patch. "Abbiamo trovato diversi fornitori che non hanno installato una singola patch ma hanno cambiato la data della patch in avanti di diversi mesi", afferma i ricercatori Karsten Nohl.
"Questo è un inganno deliberato, e non è molto comune."
Patch di sicurezza Android tramite Security Research Lab e Wired
Alcune delle patch mancanti possono essere incolpate sui telefoni con chip da MediaTek e Qualcomm, la prima mancava di 9,7 patch e la seconda 1,1 di patch in media. Quando vengono rilevati bug in questi chip anziché in Android stesso, il produttore del telefono dipende dal chipmaker per offrire una patch.
"La lezione è che se scegli un dispositivo più economico, finirai in una parte meno ben mantenuta di questo ecosistema", ha aggiunto Nohl.
Google risponde dicendo che alcuni degli smartphone analizzati da Security Research Lab potrebbero non essere dispositivi certificati Android, ma hanno sottolineato che sta collaborando con i ricercatori per approfondire le loro scoperte.
Secondo Scott Roberts, responsabile della sicurezza dei prodotti Android:
Gli aggiornamenti di sicurezza sono uno dei tanti livelli utilizzati per proteggere i dispositivi e gli utenti Android. Le protezioni integrate della piattaforma, come sandboxing delle applicazioni e servizi di sicurezza, come Google Play Protect, sono altrettanto importanti. Questi livelli di sicurezza, combinati con l'enorme diversità dell'ecosistema Android, contribuiscono ai ricercatori
Google afferma che i moderni dispositivi certificati Android includono funzionalità di sicurezza che li rendono difficili da hackerare anche quando presentano vulnerabilità di sicurezza senza patch.
Secondo il colosso della ricerca, in alcuni casi potrebbero non esserci patch di sicurezza dai dispositivi perché i loro fornitori potrebbero aver rimosso una funzionalità vulnerabile dal telefono piuttosto che patch, o il telefono non aveva quella funzionalità in primo luogo.
Il Security Research Lab presenterà le sue scoperte complete durante un evento ad Amsterdam.