Home > Android > Patch di sicurezza? Inesistenti nonostante gli aggiornamenti

Patch di sicurezza? Inesistenti nonostante gli aggiornamenti

Malware Android

Un’azienda di sicurezza tedesca ha individuato alcuni produttori di telefoni Android che stanno buttando “sabbia sugli occhi” dei loro clienti. I ricercatori che lavorano per i Security Research Labs (SRL) hanno scoperto che aziende come Google, HTC, Samsung, Sony, Motorola, ZTE, TCL e altri stanno saltando alcuni aggiornamenti delle patch di sicurezza Android anche se i telefoni mostrano che esse sono state installati.

SRL ha verificato il firmware su 1.200 dispositivi Android e ha cercato ogni patch diffuso nel 2017. I risultati sono stati interessanti. Al di fuori di Google Pixel e Google Pixel 2, i test hanno rivelato che persino i modelli di punta realizzati dai principali produttori hanno saltato gli aggiornamenti delle patch di sicurezza Android. La cosa più ingannevole però è che, nelle informazioni sul software, la patch viene data come installata.

Mostrando agli utenti che queste patch sono state installate quando non lo erano, i proprietari li stanno effettivamente ingannando e non stanno affatto assicurando la sicurezza dei loro smartphone e dei loro dati.

Il fondatore della SRL Karsten Nohl afferma che in alcuni casi, un produttore potrebbe perdere per sbaglio un aggiornamento della patch di sicurezza, o addirittura due. Ma il Samsung Galaxy J3 (2016), pur essendo stato aggiornato con cadenza mensile nel 2017 in realtà non ha nessuna delle 12 patch di sicurezza, tra cui un paio che erano considerati “critiche” per mantenere il portatile al sicuro.

Oltre ai produttori, la SRL ha affermato che alcuni produttori di chip sono da incolpare. In particolare, i telefoni alimentati da un chipset MediaTek hanno in media 9.7 patch mancanti.

La tendenza è maggiormente diffusa, come sicuramente avrete capito, sugli smartphone più economici che utilizzano chip meno costosi. Il fondatore della SRL, Nohl, ha riferito: “La lezione è che se si va per un dispositivo più economico, si finisce in una parte meno mantenuta di questo ecosistema“.

Google afferma che alcuni dei dispositivi dello studio potrebbero non essere dispositivi Android certificati, il che significa che gli standard di sicurezza di Google non si applicano a loro. E alcune patch potrebbero essersi perse, dice Google, perché il produttore ha rimosso la funzionalità sotto accusa invece di ripararla con la patch.

VIA  VIA  VIA