La sicurezza degli smartphone a livello di sistema operativo è molto spesso sottovalutata. Ogni dispositivo, a prescindere dal produttore, riceve (o dovrebbe) degli aggiornamenti mensili che dovrebbero risolvere quelle falle di sicurezza. Questi aggiornamenti sono chiamati patch di sicurezza. Ma risolvono davvero le vulnerabilità dei nostri dispositivi? Per comprenderlo dovremo prima capire che cosa sono gli aggiornamenti di uno smartphone e quali tipi di aggiornamenti esistono. Procediamo.
Le patch di sicurezza rischiano (e lo fanno) di non risolvere tutte le vulnerabilità di uno smartphone: facciamo luce sulla vicenda spinosa e contorta
Prima di tutto dovremo capire quanti tipi di aggiornamenti uno smartphone riceve, a prescindere dalla base temporale. Come abbiamo detto in teoria mensilmente dovrebbero arrivare le patch di sicurezza. Queste sono gestite interamente da Google, proprietario in un certo senso del sistema Android a bordo della maggior parte dei dispositivi che abbiamo in casa. Chiaramente in questa sede non si parla di smartphone Apple, che fanno un caso a sé.
In sostanza Google funziona da aggregatore di segnalazioni di problemi. Gli sviluppatori a loro volta costruiscono delle build, degli aggiornamenti correttivi che dovrebbero in teoria andare a fixare tutti i bug che sono stati segnalati. Andando nelle pagine relativi agli aggiornamenti di sicurezza, comprenderemo quanti ne esistano e quanto sia complesso venirne a capo. Corrispondente ad ogni aggiornamenti, ci sono dei numeri identificativi e un grado di gravità della falla.
C’è poi un’altra sezione che è dedicata alle vulnerabilità non di Android, come abbiamo appena visto, ma delle singole aziende, o meglio, produttori di hardware. Tra questi Qualcomm, MediaTek e così via. Una parentesi ora: non soltanto il sistema operativo Android deve essere corretto con le patch di sicurezza, ma anche il dispositivo in sé che è formato da hardware proveniente non da Google. Si pensi ad esempio ai diversi sensori non proprietari.
Il compito di Google è quello, come detto, di raccogliere le segnalazioni, correggerle e mandare i pacchetti di aggiornamento (o patch di sicurezza) alle singole aziende. In sostanza si occupa di correggere TUTTE le vulnerabilità, non solo quelle di Android. Qui però c’è un nodo: ogni volta che Google rilascia agli “aggiornatori”, e quindi alle aziende, questi pacchetti, esse devono controllare che non vadano a creare problemi sui propri device.
Riassumendo, esistono tre tipi di aggiornamenti all’interno delle patch:
- le patch generiche di Google
- le patch dei componenti usati da un telefono specifico
- le patch relative alle personalizzazioni del produttore stesso a livello di sistema o interfaccia
Cosa fanno i singoli produttori come OnePlus, Xiaomi, Oppo e compagnia bella?
Qui casca l’azino. Come detto, le singole aziende devono controllare che il lavoro fatto da Google non vada ad innescare qualche problema nei propri device. Noi utenti possiamo controllare questo lavoro, anche se risulterebbe fin troppo macchinoso e, in fondo, non ci importa più di tanto. Meglio lamentarci che le patch non risolvano il problema. Ma in ogni caso, tornando al nocciolo della questione, andando sulle pagine delle singole aziende possiamo controllare se le patch risolvono davvero i bug.
Ma se andiamo a vedere la lista delle singole aziende relative alle patch di sicurezza e la confrontiamo con la lista di Google, cosa succede? Possiamo notare che sono praticamente identiche. In un certo senso questo rincuora gli utenti, ma non è tutto oro quel che luccica. Possibile che le personalizzazioni (MIUI, OxygenOS, ColorOS e tutte le skin Android) non abbiano bug? Possibile, ma non verosimile. Dove sono andati tutti i bug “singoli” che riguardano le personalizzazioni Android?
Esempio. Andiamo sulla pagina relativa alla sicurezza di Oppo Find X3 Pro. I bug chiusi da Oppo sono di fatto quelli di Android chiusi da Google, esattamente gli stessi. Le due falle “critiche” sono le stesse chiuse da Google e Qualcomm, la prima legata ad Android e la seconda legata ad un componente dello Snapdragon.
Secondo esempio, OnePlus. Questa azienda addirittura si comporta in maniera differente non riportando nemmeno alcune patch di sicurezza. Nella pagina ufficiale infatti, non sono presenti le patch di sicurezza implementate da Google. In sostanza OnePlus ha implementato correzioni solo parzialmente.
Detto questo, sebben Qualcomm abbia annunciato 4 anni di aggiornamenti per i processori più nuovi, non possiamo essere sicuri che le singole aziende mandino aggiornamenti correttivi come ci aspettiamo che sia. Purtroppo noi utenti finali non possiamo stare tranquilli e credere che le singole aziende rilascino delle build che vadano a rendere sicuri e protetti i nostri smartphone. Purtroppo però non ci sono vie di fuga se non delle class action a livello mondiale che tentino di smuovere i singoli brand.
In offerta su Amazon
Via | DDay
