Il sistema Android non è poi tanto così sicuro di quanto noi tutti pensiamo.
La scorsa settimana un ricercatore che si occupa di sicurezza ha rivelato che una serie di bug nel codice sorgente di Android hanno permesso ad un team di hacker di spiare alcuni utenti tramite un semplice messaggio multimediale.
Questo bug è stato rinominato Stagefright.
Grazie a questo bug rischiano di essere in pericolo 950 milioni di telefoni.
“È bene considerare tutti i dispositivi vulnerabili,” ha detto Joshua Drake, il ricercatore che ha trovato i bug.
Sapevo che la sicurezza di Android non era il massimo, ma da quando sono venuto a conoscenza di questo bug ho iniziato a fare un po di ricerche e capire quanto può essere sicuro Android.
Amo l’ etica opensource e la libertà che lascia Android, ma non dovrebbe essere a discapito della sicurezza.
Google ha pochissimo controllo sugli aggiornamenti dei programmi, e gli utenti Android sono in balia dei gestori e dei produttori telefonici quando si tratta di ricevere aggiornamenti o nuove versioni del sistema operativo.
Per esempio, ci sono voluti più di sei mesi perché Sony mettesse Android 5.0 Lollipop sui telefoni Xperia Z, nonostante avesse promesso un rinnovo molto più rapido quando Google ha reso disponibile Lollipop.
Tanto per fare un paragone, quando Apple ha rilasciato iOS 8 a settembre dell’anno scorso, l’aggiornamento è stato immediatamente disponibile per tutti gli utenti, persino quelli che avevano un iPhone 4S del 2011.
L’ esperto in sicurezza Cem Paya si è espresso a riguardo dicendo: “cedere il controllo su Android per ottenere un pezzo di mercato contro iPhone.” In poche parole Google è stata felice di lasciare che i gestori infilassero i loro bloatware sui loro telefoni Android in cambio di una possibilità per sfidare Apple sul mercato della telefonia mobile. L’ accordo dava ai gestori e ai produttori il controllo sulle uscite di Android, rendendo per Google impossibile imporre dall’alto gli aggiornamenti di sistema.
Bisogna riconoscere che alcuni produttori rilasciano i propri telefoni con versioni Android migliori delle altre, ma sono tutti carenti per quanto riguarda gli aggiornamenti.
Citando il tweet di Nicholas Weaver, altro ricercatore che si occupa di sicurezza, “Vi immaginate come sarebbe se le patch di Windows dovessero passare attraverso Dell e il vostro ISP prima di arrivare a voi? E per di più a nessuno dei due frega qualcosa? Ecco, questo è Android.”
Nel 2013, la American Civil Liberties Union ha sporto denuncia alla Federal Trade Commission sostenendo che i maggiori gestori wireless mettessero gli utenti in una condizione di vulnerabilità davanti a hacker e cyber-criminali, perché non imponevano gli aggiornamenti di sicurezza fondamentali sui telefoni dei loro clienti.
Da allora le cose sono cambiate di poco. Google ora ha un po’ più di controllo su certi aggiornamenti grazie ai Google Play Services, un insieme di API che vivono all’esterno dell’OS, e che si aggiornano automaticamente in sordina. Ma la sicurezza non è migliorata granché. Ad esempio, Google stessa si è rifiutata di aggiustare un problema di sicurezza che riguardava il 60 percento degli utenti di Android, che usavano le versioni più vecchie dell’OS, qualche mese fa. (Quel bug non è stato sistemato per quella fascia di utenti, ed è probabile che non lo sarà mai.)
Come ha detto una delle persone dietro la denuncia alla FTC, dopo due anni gli aggiornamenti di Android “fanno ancora schifo.”
Ma ritorniamo alla nostra storia, Drake ha informato Google di alcuni dei bug Stagefright per la prima volta il 9 aprile (ne ha poi segnalati altri all’inizio di maggio). Google, dal canto suo, ha risposto velocemente e ha inviato patch ai produttori quasi immediatamente.
Allora tutto ok, no? Invece no, perché, come ho detto prima, ora dipende dai gestori e dai produttori consegnare quelle patch a voi.
Le patch sono pronte a partire. Sono state approvate da Google mesi fa. Ma non le vedrete ancora per settimane (se tutto va bene) o mesi (più probabilmente) o mai (una possibilità drammaticamente concreta) a seconda di quanto è vecchio il vostro telefono—se è troppo vecchio i produttori smettono semplicemente di tenerlo in considerazione—e di quanto apatici e svogliati siano i vostri produttori e gestori telefonici nei confronti degli aggiornamenti. Data la natura open di Android, mettere a disposizione gli aggiornamenti, come ha comunicato Android Central, è “una faccenda imprevedibile e caotica” che richiede il “contributo di un sacco di parti.”
Ecco qual è la differenza fondamentale tra Android e iPhone. Quando c’è un bug su iOS, Apple fornisce una patch e può imporre un aggiornamento per tutti gli utenti iPhone appena questo è pronto, senza domande.
Con Android, Google fornisce la patch e poi non si sa quando le varie compagnie di telefonia e produttori del mondo decideranno che la cosa è seria abbastanza da essere presa in considerazione, magari solo perché avere un OS aggiornato è considerato un vantaggio sulla competizione).
Persino i telefoni Nexus che sono di proprietà di Google su cui la compagnia ha il pieno controllo, non hanno ancora avuto le patch per Stagefright.
Quindi non c’è modo di garantirvi una sicurezza su i vostri dispositivi non vi resta che tenere il vostro telefono Android con la versione di Android che il vostro gestore o produttore ha deciso di mettere sul telefono, e ricevere gli aggiornamenti di sicurezza con settimane di ritardo, se non mai (se avete un Nexus la situazione è migliore, ma chi può dire se Google continuerà a produrre i Nexus in futuro).
Un’ alternativa è installare sul dispositivo il sistema operativo basato su Android che si chiama CyanogenMod. È un’ ottima alternativa, ma difficile da installare per un utente poco esperto, e gli aggiornamenti per certi telefoni dipendono dal lavoro di volontari, quindi, anche in questo caso, potrebbe darsi che non arrivino tanto presto.
Una piccola precauzione che potete prendere per il momento, se nel caso non avete un terminale della serie Nexus o non vi è ancora arrivato l’aggiornamento di sicurezza, è quello di disabilitare a tutte le applicazioni di messaggi il “recupero automatico” degli MMS, che potete trovare nelle impostazioni dell’applicazione nel reparto degli MMS.
Ultima opzione è quella di acquistare un iPhone e i vostri problemi di sicurezza sono risolti. 😉
