Nel solo primo trimestre del 2018 sono stati rilevati 846.916 nuovi malware per Android. Circa il 12 percento in più rispetto al primo trimestre del 2017. Una media di 9.411 nuovi malware al giorno ai danni di Android, una nuova app dannosa ogni 10 secondi. Sono i risultati delle analisi del primo trimestre 2018, anno per cui gli analisti di G DATA prevedono circa 3,4 milioni di nuovi malware.
Google non certifica più i dispositivi dotati di sistema operativo Android 7 (“Nougat”: in Italia in uso sul 36% dei dispositivi, ma uno su cinque monta ancora la versione 6 Marshmallow). La decisione non sorprende, poiché con “Project Treble” e altre misure Big G sta adottando strategie volte a convincere i produttori a dotare gli smartphone dell’ultima versione di Android in tempo utile. Per i produttori, è molto importante che i loro dispositivi siano certificati. Questo è infatti l’unico modo per poter accedere ai Google Mobile Services, che includono tutti i servizi e le app firmate Google, incluso il Playstore.
I requisiti richiesti ai produttori al fine di poter ottenere la certificazione sono stabiliti nel cosiddetto “documento di definizione della compatibilità”. Oggi smartphone e tablet devono essere forniti con Android 8. Ciò garantisce che “Project Treble” sia implementato su tutti i nuovi dispositivi. Ma i produttori sembrano aver già trovato delle scappatoie, secondo quanto si può presumere da un report di sicurezza.
Gli esperti di sicurezza criticano i produttori di smartphone Android perché a parer loro ingannano i clienti in merito agli aggiornamenti dei loro dispositivi e del sistema operativo Android installato. Risultano coinvolti oltre 1.000 smartphone, inclusi i dispositivi di noti produttori di fascia bassa e media. All’utente viene comunicato che il dispositivo ha ricevuto tutti gli aggiornamenti di sicurezza disponibili ed è aggiornato, quando, in realtà, non vi è traccia di alcun aggiornamento. In diversi casi i produttori arrivano addirittura a modificare la data dell’ultimo aggiornamento senza offrire effettivamente nuovi contenuti. Gli utenti non se ne accorgono e ritengono che il loro dispositivo sia aggiornato e quindi sicuro.
In fase di acquisto, la questione degli aggiornamenti crea confusione sia per gli utenti finali sia per i commercianti. Nel caso di smartphone di fascia bassa, a fronte di un prezzo ridotto gli acquirenti sono spesso pronti a scendere a compromessi con la qualità della fotocamera ad esempio. Tale informazione può essere facilmente reperita nella descrizione del prodotto. Ma non c’è modo di vedere quando, se o con quale frequenza il dispositivo sarà aggiornato. La maggior parte delle volte, c’è solo un riferimento alla versione del sistema operativo installato di fabbrica. Una carenza di informazioni che mette a rischio i consumatori.
A livello internazionale sono diverse le associazioni dei consumatori che sperano in un cambiamento. L’anno scorso, ad esempio, l’associazione dei consumatori della Renania settentrionale – Vestfalia ha citato in giudizio un rivenditore di elettronica che offriva uno smartphone per 99 €. Già al momento della vendita, il dispositivo mostrava gravi vulnerabilità, era infatti equipaggiato con la versione 4.4 del sistema operativo Android obsoleto (“Kitkat”), introdotta per la prima volta sul mercato nel 2013.
Nonostante le notifiche dello stesso Ufficio Federale per la Sicurezza delle Informazioni (BSI) tedesco del 2016, il produttore del dispositivo non ha mai fornito alcun aggiornamento. Nonostante ci fossero gli estremi per denunciare Google quale sviluppatore di Android o il produttore del dispositivo mobile, l’associazione a preferito chiamare in giudizio il rivenditore, che, quale parte contrattuale immediata per i consumatori, ha il dovere di informare l’acquirente della presenza di falle di sicurezza non colmate (e incolmabili) nel nuovo dispositivo.
