Android è sicuro come iOs. A dirlo è una fonte non esattamente sopra le parti, visto che si tratta di David Kleidermacher, responsabile a capo della sicurezza del sistema operativo di Google.
Kleidermacher, intervistato a C/Net, usa come fonte l’ultimo Android Security Report e traccia un excursus partendo dal passato e arrivando all’oggi, un momenti in cui sono state poste in atto molte protezioni che ora guidano il comparto. Secondo Kleidermacher le falle Android sono diventate difficili da individuare e il sistema ora protegge bene gli utenti e non esistono pià le debolezze che in passato mettevano a rischio gli utenti.
Il problema principale di Android è, come accennato, l’assenza di un meccanismo centralizzato e univoco per gli aggiornamenti. I proprietari di dispositivi Nexus o Pixel ricevono le patch direttamente da Google; purtroppo però la quota dei possessori dei telefoni supportati direttamemte da Big G è molto ridotta e, su scala globale, solo una modesta precentuale di utenti Android beneficia delle versioni più recenti del sistema operativo sul proprio dispositivo.
L’enorme dilatazione dei tempi di consegna degli aggiornamenti dipende in massima parte dal fatto che quando Google rilascia una patch o una nuova versione del proprio sistema operativo, i produttori e gli operatori devono adattarla ai propri dispositivi. Il tutto richiede tempi molto lunghi e in alcuni casi tale processo non ha proprio luogo, forse perché la strategia di mercato per cui, su base annuale, sono immessi sul mercato nuovi top di gamma lascia poco spazio alla cura dei modelli precedenti (ad ogni modo ancora commercializzati poiché recenti) e della pletora di dispositivi di gamma medio-bassa. Per gli utenti ciò comporta l’esposizione a inutili rischi.
Apple, spiega C-Net, non ha questo tipo di problemi: può distribuire gli update direttamente agli iPhone oltre a impedire lo scaricamento di app all’infuori dell’App Store. Kleidermacher dice che non è necessario copiare il modello Apple ma che è possibile risolvere i problemi prevedendo specifiche misure di sicurezza nei telefoni Android. In altre parole, anche se Android non è stato sin dall’inizio progettato tendo conto di funzionalità di sicurezza, queste possono essere integrate ora nei nuovi sistemi. L’azienda spiega che sta offrendo ricompense sempre più elevate alle persone che individuano vulnerabilità. Come si evince da eventi quali l’annuale Mobile Pwn2Own (una sorta di gara per hacker dove chi mostra falle, vince grossi premi in denaro) nell’ultimo anno gli hacker non sono riusciti a ottenere premi per falle individuate in funzionalità core di Android.
Kleidermacher evienzia ancora che Android è un progetto open source e, in quanto tale, sono molte le persone che hanno la possibilità di apportare modifiche e condurre ricerche sul software.
Con la pubblicazione del nuovo Android 8.0 “Oreo”, Google ha presentato il suo “Project Treble”. Gli sviluppatori Android puntano ad una distribuzione generale degli aggiornamenti più rapida, con l’intento di non limitare la ricezione tempestiva degli update ai soli modelli Pixel e Nexus.
Fino ad ora infatti era necessario rispettare cinque fasi prima della pubblicazione di un aggiornamento: il team Android metteva a disposizione un codice Open Source che i produttori di processori potevano adattare ai propri hardware specifici. Dopo di che era il turno dei produttori di smartphone, a cui veniva data la possibilità di personalizzare la nuova release. I provider che vendono propri dispositivi mobili ai clienti, avevano anch’essi l’opportunità di apportare le proprie modifiche al software. Solo allora si poteva rilasciare la nuova versione del sistema operativo. Questi processi concatenati richiedono da sempre tempi molto lunghi, con la conseguenza che gli utenti ricevono gli aggiornamenti a mesi o addirittura anni di distanza (e in alcuni casi neanche mai) rispetto al rilascio da parte del team Android.
“Project Treble” è disponibile su tutti gli smartphone che sin dalla produzione dispongono di Android Oreo. Gli esperti di sicurezza di G-Data fanno notare che tuttavia un aggiornamento alla versione 8.0 successivo alla produzione non garantisce la fruibilità del progetto, poiché Google lascia ai produttori la libertà di scegliere se fornire o meno la funzione con l’aggiornamento. Al momento dell’acquisto di un nuovo smartphone con sistema operativo Android, gli utenti dovrebbero quindi assicurarsi che sia dotato della versione 8.0 di Android di fabbrica e che quindi integri il “progetto Treble” by default. Così facendo, ci si assicura di fruire rapidamente delle patch di sicurezza contro falle come Spectre.
