Siamo davvero sicuri che i nostri smartphone Android siano aggiornati?

Molti produttori di smartphone Android non riescono a implementare le patch e gli aggiornamenti di sicurezza rilasciati da Google, esponendo gli ignari utenti a seri rischi

Probabilmente molti di voi staranno pensando che sono impazzito. Ma certo che il mio dispositivo Android è aggiornato! Di tanto in tanto noto un messaggio mi segnala che sono stati apportati gli ultimi aggiornamenti.

Non sappiamo infatti che molti produttori di smartphone Android non riescono a implementare le patch e gli aggiornamenti di sicurezza rilasciati da Google, esponendo gli ignari utenti a seri rischi.

I produttori non rilasciano aggiornamenti di sicurezza completi

I ricercatori del Security Research Labs (SRL) hanno analizzato il problema a fondo scoprendo che anche i principali produttori di dispositivi Android, falliscono nel rilasciare aggiornamenti di sicurezza completi.

In alcuni casi, i produttori implementano patch di sicurezza incomplete lasciando i dispositivi vulnerabili agli attacchi informatici.

“I telefoni oggi ricevono aggiornamenti di sicurezza mensili. L’installazione di patch ogni mese è un primo passo importante, ma è ancora insufficiente a meno che tutte le patch pertinenti non siano incluse in tali aggiornamenti. Il nostro ampio studio sui telefoni Android rileva che la maggior parte dei fornitori di dispositivi Android dimentica regolarmente di includere alcune patch, lasciando alcune parti dei sistemi esposte ad attacchi”. Si legge nel post pubblicato dal team SRL.

Gli esperti Karsten Nohl e Jakob Lell hanno presentato i risultati della ricerca alla conferenza sulla sicurezza Hack In The Box tenutasi la scorsa settimana ad Amsterdam, Paesi Bassi.

Gli esperti hanno sottolineato che, anche se Google è in grado di installare alcune patch di sicurezza over-the-air senza che l’utente compia alcuna azione, in alcuni casi le correzioni riguardano componenti software difettose di basso livello, come driver e librerie di sistema, e questo processo richiede il coinvolgimento dei produttori.

 

Gli esperti hanno spiegato che alcuni dispositivi Android ricevono solo la metà degli aggiornamenti disponibili ogni mese, e questi aggiornamenti talvolta sono solo quelli installati da Google over-the-air e non quelli che avrebbero dovuto distribuire i produttori di dispositivi.

La seguente tabella mostra il numero medio di patch critiche e ad alta severità mancanti prima della data della patch richiesta (Numero di patch mancanti – Few: 5-9; Many: 10-49; Lots: 50)
Gli esperti hanno chiarito che alcuni telefoni sono inclusi più volte essendo equipaggiati con diverse versioni del firmware.

 

Come scoprire che cosa è installato sullo smartphone

 

I ricercatori del team SRL hanno spiegato che l’unico modo per scoprire cosa è installato sul nostro dispositivo è quello di dare un’occhiata a ciò che è incluso nelle patch mensili rilasciate da Google e verificarne la presenza sul dispositivo a seguito dell’aggiornamento

La buona notizia per gli utenti è che il problema nella gestione delle patch in alcuni casi non è sufficiente affinché un utente malintenzionato possa compromettere un dispositivo Android da remoto e bypassare i meccanismi di difesa come la sandbox Android ed il meccanismo anti exploit (ASLR) implementato da Android.

 

“I moderni sistemi operativi includono diverse barriere di sicurezza, ad esempio ASLR e sandboxing, che in genere devono essere violati per hackerare un telefono in remoto”, prosegue il ricercatore.

“A causa di questa complessità, alcune patch mancanti di solito non sono sufficienti per consentire a un hacker di compromettere da remoto un dispositivo Android. Invece, la concatenazione di più bug può consentire di hackerare il dispositivo “

Se volete saperne di più circa questa interessantissima ricerca vi suggerisco la lettura le paper pubblicato dagli esperti.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter