Come ben sappiamo molto spesso il sistema operativo di Google, Android, è stato “accusato” di essere molto meno sicuro rispetto ad iOS, per via delle grandi restrizioni di quest’ultimo. Ma nonostante tutto Google negli ultimi anni ha svolto passi da gigante per rendere il proprio sistema operativo più sicuro ed affidabile. Versione dopo versione, le cose sono migliorate, ma il sistema essendo frammentato è molto difficile da gestire.

Ovviamente mantenere un device al sicuro da qualsiasi minaccia è un lavoro arduo e complicato e ovviamente non ha mai fine, ed è proprio per questo che Google ogni mese rilascia le patch di sicurezza (chiamati anche bollettini di sicurezza), in modo tale da rendere facile ai produttori mettere al sicuro i dispositivi dalle vulnerabilità.

Negli ultimi 6 mesi ci sono state più e più notizie di falle di sicurezza che hanno attirato l’attenzione generale. Tra le più famose possiamo ricordare falle come Spectre e Meltdown, BlueBorne, ecc. Questi nomi hanno contribuito alla presa di coscienza da parte degli utenti circa questo argomento.

Ma per capire per bene come si arriva alla conclusione e come funziona bisogna prima la natura del problema. Se ad esempio la vulnerabilità riguarda solamente un programma o un sistema operativo, allora con un semplice aggiornamento software. Ma se le falle di sicurezza riguardano parti hardware come ad esempio CPU o Bluetooth, allora la soluzione va studiata in collaborazione con il produttore del pezzo hardware.

A complicare ulteriormente le cose su Android c’è il fatto che mosto spesso Android stesso viene personalizzato dai produttori o anche dagli operatori telefonici. Ovviamente questo viene fatto perché Android è un sistema operativo aperto e quindi ogni produttore o operatore telefonico vuole rendere l’esperienza con il proprio device unica e riconoscibile.

Quindi nel momento che Google rilascia una patch mensile di sicurezza, i produttori devono risolvere tutte le vulnerabilità riscontrate per poter affermare che il device risponde a quegli standard di sicurezza. Ogni mese ci sono ben due patch di sicurezza cui un dispositivo può essere aggiornato: le patch del primo del mese e quelle del 5. Entrambe contengono aggiornamenti di sicurezza per il framework e per la personalizzazione dei produttori relativa ai mesi precedenti, ed anche l’aggiornamento del framework per il mese corrente. Invece quella del 5 contiene anche l’aggiornamento delle personalizzazione del produttore per il mese corrente. Quindi in parole povere, se un produttore decidesse di aggiornare il proprio dispositivo con le patch del primo del mese, questo dispositivo non avrà quindi le patch di sicurezza più aggiornate relative proprio alla personalizzazione del produttore stesso. Al contrario con le patch del 5 il dispositivo avrà il massimo della sicurezza.

Ritornando dalla teoria alla pratica, sappiamo benissimo come Android sia frammentato e usato su milioni di device diversi, quindi nella realtà dei fatti è molto difficile mantenere uno standard preciso di sicurezza (a differenza di iOS che avendo pochi dispositivi su cui gira, è più facile da gestire).  Per quanto Google sia puntuale con i suoi bollettini i produttori non hanno obblighi né vincoli nel diffondere le patch ognuno fissa le proprie regole in merito, come potete notare dall’immagine sottostante.

A volte quindi non è detto che un produttore non sia più interessato ad un certo dispositivo oppure che sia “pigro”. Nel caso in cui fosse coinvolto un componente hardware, come è stato precedentemente detto, la questione diventa particolarmente lunga e complessa. Insomma non possiamo che augurarci che Google metta mano al problema e decida di rivedere questa organizzazione.