Fastweb

Alcuni produttori di dispositivi Android mentono sugli aggiornamenti di sicurezza

galaxy note 10 Smartphone & Gadget #galaxy note 10 #samsung Galaxy Note 10 e Galaxy Note 10+ ufficiali, caratteristiche, prezzo e data di uscita Il Galaxy Note 10 e il Galaxy Note 10+ sono stati presentati a New York. A bordo troviamo il chipset Exynos 9825 e 6-12GB di RAM. In arrivo a 999 euro
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Alcuni produttori di dispositivi Android mentono sugli aggiornamenti di sicurezza FASTWEB S.p.A.
Alcuni produttori di dispositivi Android mentono sugli aggiornamenti di sicurezza
Smartphone & Gadget
Molte delle patch di sicurezza date per pubblicate non sono state rilevate sui dispositivi di alcuni produttori Android

Un gruppo di produttori di dispositivi Android ha effettivamente ingannato i consumatori riguardo alla sicurezza e alla vulnerabilità dei loro dispositivi a malware e hacking, secondo Wired, che ha avuto contattati con i ricercatori del Security Research Lab (SRL) con sede in Germania.

Secondo il rapporto, alcuni produttori fanno credere agli utenti, tramite le informazioni di aggiornamento all'interno delle impostazioni dei dispositivi, che le ultime patch di sicurezza siano installate quando in realtà non lo sono.

Un metodo utilizzato da alcuni produttori include la modifica della data di una patch precedente per ingannare gli utenti facendogli pensare che la patch in questione sia la più recente. Di conseguenza, gli utenti pensano erroneamente di essere protetti.

Karsten Nohl di SRL ha detto a Wired: "A volte queste persone cambiano semplicemente la data senza installare alcuna nuova patch, probabilmente per ragioni commerciali, impostano il livello di patch su una data quasi arbitraria, qualsiasi gli sembri la migliore."

In altri casi, quando i produttori non impiegano l'escamotage appena descritto, SRL dice che, senza nemmeno cercare di nasconderlo, alcuni trascurano semplicemente di aggiornare i loro dispositivi.

I produttori potrebbero anche aver "perso una patch o due per sbaglio", secondo Karsten Nohl, della SRL.

SRL e Wired non hanno menzionato esattamente quali produttori di dispositivi Android utilizzano queste tattiche. Samsung è stato incluso nel report di Wired, ma non è chiaro se Samsung abbia utilizzato specificatamente il metodo di manipolazione della data descritto.

SRL, ad esempio, ha scoperto che lo smartphone J3 di Samsung affermava di aver installato tutte le patch di sicurezza del 2017, ma in realtà ne mancavano ben 12 di quelle rilasciate quell'anno.

Al contrario, la SRL ha anche scoperto che il dispositivo J5 di Samsung conteneva tutte le patch di sicurezza pubblicizzate. Il dispositivo ha infatti tralasciato alcune patch del 2017, ma non ha mai annunciato che sarebbero state installate. Per i clienti J5, quelli che hanno verificato lo stato di sicurezza dei loro dispositivi, erano effettivamente a conoscenza di quali fossero installate e quali no.

SRL ha testato 1200 dispostivi di oltre una dozzina di produttori e ha scoperto che gli smartphone di Google erano gli unici contenenti tutte le patch pubblicizzate negli aggiornamenti del software rilasciati nel 2017. Google ha confermato infatti che i suoi dispositivi Pixel, inclusi Pixel e Pixel 2, contengono tutte le patch pubblicizzate.

In effetti, Google è la fonte delle patch di sicurezza Android.  Spetta alle terze parti, tra cui produttori e operatori di rete, fornire poi tali aggiornamenti Android di Google ai propri dispositivi. Tuttavia, Google deve intervenire per mettere in riga queste terze parti. Del resto, molti associano Android direttamente a Google.

Le patch di sicurezza sui dispositivi di terze parti sono state un problema costante per Google e il suo sistema operativo Android. Fattori come l'enorme numero di dispositivi Android con hardware e caratteristiche diverse, oltre che la conformità con i gestori di rete, spesso spingono i produttori di dispositivi Android a distribuire patch e aggiornamenti mesi dopo che Google li rilascia, se non distribuirli affatto.

Secondo SRL e Wired:

  • Ai dispositivi Samsung, Sony e Wiko mancavano, in media, dalle zero ad una patch di sicurezza pubblicizzate negli aggiornamenti dal 2017.
  • Ai dispositivi Xiaomi, OnePlus e Nokia mancavano, in media, da uno a tre patch di sicurezza pubblicizzate.
  • Ai dispositivi HTC, Huawei, LG e Motorola mancavano da tre a quattro patch di sicurezza pubblicizzate.
  • Ai Dispositivi TCL e ZTE mancavano quattro o più patch di sicurezza pubblicizzate.

 

Business Insider ha richiesto un commento di tutti i produttori di telefoni Android citati da Wired, tra cui Samsung, Sony, Wiko, Xiaomi, OnePlus, Nokia, HTC, Huawei, LG, Motorola, TCL e ZTE. Non ha ancora ricevuto risposta da tutti, tranne Google, che ha fornito questa dichiarazione:

"Vorremmo ringraziare Karsten Nohl e Jacob Kell per i loro assidui sforzi per rafforzare la sicurezza dell'ecosistema Android. Stiamo lavorando con loro per implementare i meccanismi di rilevamento per tenere sotto controllo i dispositivi che utilizzano aggiornamenti di sicurezza alternativi anziché quelli suggeriti da Google. Gli aggiornamenti di sicurezza sono uno dei molti livelli utilizzati per proteggere i dispositivi e gli utenti Android. Le protezioni integrate della piattaforma, come il sandboxing delle applicazioni e altri servizi di sicurezza, come Google Play Protect, sono altrettanto importanti. Questi livelli di sicurezza, combinati all'enorme diversità dell'ecosistema di Android, contribuiscono alla conclusione a cui sono giunti i ricercatori, ovvero che rimane una sfida difficile l'utilizzo remoto dei dispositivi Android."

13 aprile 2018

Fonte: businessinsider.com

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #android #sicurezza #patch

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.