Google ha finalmente pubblicato in questi giorni il report annuale, del 2015, sulla sicurezza di Android, una panoramica dettagliata sulle nuove funzionalità per la sicurezza introdotte nel 2015 e anche una descrizione del lavoro svolto con i partner di Android per la sicurezza del sistema.
Questo il report pubblicato:
L’ultimo anno è stato investito in maniera significativa nel machine learning e nell’event correlation per rilevare i comportamenti potenzialmente pericolosi:
- Protetti gli utenti dai malware e da altre app potenzialmente dannose, verificando più di 6 miliardi di app installate ogni giorno.
- Protetti gli utenti da minacce, in rete e su dispositivo, analizzando oltre 400 milioni di dispositivi al giorno.
- Protetti centinaia di milioni di utenti di Chrome su Android da siti web non sicuri grazie alla Navigazione sicura.
Inoltre è statao reso ancora più difficile installare applicazioni potenzialmente dannose su Google Play. I miglioramenti introdotti lo scorso anno hanno ridotto di più del 40% le probabilità di installare app potenzialmente dannose da Google Play rispetto al 2014. I tentativi di installazione di app potenzialmente dannose rientrano principalmente nelle categorie:
- Raccolta dati: diminuita di più del 40%, fino all’0,08% delle installazioni
- Spyware: diminuiti di più del 60%, fino allo 0,02% delle installazioni
- “Hostile downloader”: diminuiti di più del 50%, fino allo 0,01% delle installazioni
Nel complesso, app potenzialmente dannose sono state installate su meno dello 0,15% dei dispositivi che installano app solo da Google Play. Considerando anche i dispositivi che installano applicazioni al di fuori di Google Play, in media meno dello 0,5% dei dispositivi Android ha installato una app potenzialmente dannosa nel 2015, un dato simile a quello della scorsa edizione del report.
Migliorato di oltre il 50% l’efficacia degli avvisi relativi ad app potenzialmente dannose, mostrati da Verifica app. Nel 2015 si è osservato un aumento dei tentativi di installazioni potenzialmente dannose al di fuori di Google Play, e scoraggiato svariati tentativi di installare app potenzialmente dannose su dispositivi al di fuori di Google Play.
L’anno scorso è stato lanciato Android 6.0 Marshmallow, che ha introdotto molte novità in fatto di protezione e controlli di sicurezza.
- La crittografia totale del disco è ora un requisito per tutti i nuovi dispositivi Marshmallow con sufficiente capacità di archiviazione e ora permette anche di crittografare i dati su scheda SD.
- Le autorizzazioni per le app aggiornate permettono agli utenti di gestire i dati che condividono con le singole app, con una maggiore precisione e un maggiore controllo.
- Il nuovo sistema di verifica avvio assicura che il telefono sia sicuro, dal bootloader fino al sistema operativo.
- Il livello patch di sicurezza Android permette di verificare che il dispositivo disponga degli aggiornamenti di sicurezza più recenti.
- E molto altro, per esempio il supporto per i lettori di impronte digitali e i miglioramenti SELinux.
A giugno Android è entrato a far parte del Vulnerability Rewards Program di Google, che offre un compenso ai ricercatori nel campo della sicurezza quando individuano dei bug e ce li segnalano. Così sono state risolte oltre 100 vulnerabilità, offrendo ai ricercatori più di $200.000 per le loro segnalazioni.
“Ad agosto abbiamo lanciato il nostro programma pubblico di aggiornamento sulla sicurezza su base mensile per l’Android Open Source Project, come pure aggiornamenti di sicurezza per tutto il ciclo di vita dei dispositivi Nexus. Vogliamo che il ciclo di vita degli aggiornamenti per i dispositivi Nexus sia un modello per tutti i produttori Android, per questo lavoriamo con i partner dell’ecosistema per facilitare questo tipo di programmi. Da allora, i produttori hanno fornito aggiornamenti mensili sulla sicurezza per centinaia di modelli diversi di dispositivi Android e centinaia di milioni di utenti hanno installato gli aggiornamenti mensili per la sicurezza sui propri dispositivi. Nonostante questi passi avanti, molti dispositivi Android non ricevono ancora gli aggiornamenti mensili. Da parte nostra c’è l’impegno ad aiutare i partner ad aggiornare sempre più dispositivi in maniera tempestiva.”