Ad ogni lancio di smartphone, che sia questo uno Xiaomi oppure di un altro brand rivale, sentiamo sempre polemiche sul fatto che mancherà il supporto agli aggiornamenti di sistema. Non sempre ci si riferisce alla versione del sistema operativo, per intenderci Android 9, 10 etc.. ma spesso ci riferisce alle patch di sicurezza mensili, un particolare tipo di aggiornamento che Google rilascia con cadenza mensile da quasi 5 anni.
Come suggerisce il nome, le patch di sicurezza permettono di correggere importanti falle di sicurezza relative all’OS Android, spessi indirizzate ad un determinato smartphone, o meglio processore equipaggiato su un determinato terminale.
Ogni giorno, Google ma anche aziende esterne, lavorano con fine comune nella scoperta di vulnerabilità che potrebbero compromettere la sicurezza di un dispositivo. Le patch di sicurezza Android sono caratterizzate da una nomenclatura nel formato anno/mese/01 oppure 05, spesso confusi (anche da me) con il giorno del mese di rifermento mentre la sigla 01 o 05 sta indicare un tipo differente di patch.
01, è il suffisso indicato per una patch di sicurezza con fix dedicato al framework Android mentre quelle con suffisso 05 si riferiscono a patch relative ai vari vendor e relativo kernel Linux oltre che a quanto contenuto nella patch 01. Questo permette quindi ai vari produttori di inserire all’interno di una determinata patch, anche il fix specifico per i propri smartphone.
Come già anticipato, le patch di sicurezza vengono rilasciate in un arco temporale di circa 30 giorni, pertanto ogni mese avremo una patch differente ed aggiornata. Ma questo in genere vale sui dispositivi Google Pixel e non da parte di altre OEM, che possono decidere e pianificare il rilascio a loro piacimento.
Spesso quindi il rilascio di una determinata patch non avviene immediatamente, perché le aziende preferiscono affiancare anche ulteriori aggiornamenti, che aggiungono nuove funzionalità o correggono altri bug presenti a livello di sistema. Va però anche sottolineato che molte aziende non risultano Android Partner e quindi non ricevono la notifica del bollettino di sicurezza con 30 giorni di anticipo come accade appunto agli OEM Android Partner, le quali beneficiano anche di ulteriori strumenti. Per fare un esempio, i problemi risolti nella patch di maggio 2019 sono stati comunicati il 20 marzo 2019.
Patch di sicurezza Android: cosa sono e come funzionano? Facciamo chiarezza
Ovviamente tutti i principali OEM sono Android partner, ma non è così semplice diventarlo: è necessario rispettare determinati requisiti in termini di Compatibility Definition Document (CDD) e superare alcuni test, tra i quali Compatibility Test Suite (CTS), Vendor Test Suite (VTS), Google Test Suite (GTS).
Ma tutto ciò giustifica il grosso ritardo, in alcuni casi, del rilascio delle patch di sicurezza aggiornate? Beh la situazione non è sempre così facile da gestire, in quanto seppur si benefici del ricevimento in anticipo, i produttori di smartphone devono superare rilevanti problemi tecnici per implementare i fix come ad esempio conflitti con il codice pre-esistente.
A volte il problema lo creano anche gli operatori telefonici che tardano nel rilascio della certificazione, a cui si aggiunge la volontà di aggiungere nuove funzioni da parte del team di sviluppo firmware di ogni azienda di telefonia mobile.
Per avere però un’idea chiara sull’affidabilità di un brand su questa tematica, è bene sapere che ogni azienda è obbligata a rilasciare almeno quattro aggiornamenti di sicurezza entro il primo anno di vita del terminale Android, e garantire anche 2 anni di aggiornamenti complessivi, senza però specificare in questo caso a quanto ammonta il numero di aggiornamenti obbligatori nel termine dei due anni.
Questo speso induce l’utente a rivolgersi verso l’utilizzo di Custom ROM, il che comporta lo sblocco del bootloader che, già di suo, può rappresentare un rischio alla sicurezza generale del dispositivo. In questi caso, saranno presenti due livelli di patch di sicurezza, uno riguardante la piattaforma e uno riguardante l’azienda produttrice dello smartphone. Questo significa che la situazione aggiornamenti potrebbe peggiorare in caso di problematiche generali.
