09 Novembre 2018
Le patch di sicurezza mensili di Android non sempre contengono la correzione di tutte le vulnerabilità segnalate nel bollettino di sicurezza: è questa, in estrema sintesi, la conclusione a cui i ricercatori della tedesca Security Research Labs sono giunti. I risultati sono stati presentati verso mezzogiorno alla conferenza di sicurezza informatica HITBSecConf 2018, che si tiene ad Amsterdam dal 9 aprile; oggi è l'ultimo giorno. I risultati, tuttavia, erano stati anticipati ieri da un articolo di Wired.
I ricercatori hanno messo a punto un sistema per capire se tutte le vulnerabilità contenute in un bollettino di sicurezza erano state risolte; in ognuno di essi le voci sono molteplici - si fluttua comodamente tra le 50 e le 100 al mese. Analizzando solo le patch distribuite nel 2017 e solo le più gravi - quelle classificate come rischio "Alto" e "Critico" - si è scoperto che per alcuni produttori mancano oltre 4 fix per ogni aggiornamento.
Il numero medio di patch mancanti varia a seconda del produttore: Sony, Google, Wiko e Samsung sono i più affidabili, con medie tra 0 e 1, mentre ZTE e TCL hanno i risultati peggiori, con più di 4. TCL è l'azienda che produce gli smartphone BlackBerry, che puntano molto sulla sicurezza dei loro dispositivi, ma la documentazione non scende nel dettaglio dei modelli coinvolti. I ricercatori osservano che le medie variano molto in base alla marca del SoC: sui MediaTek si avvicinano a 10 al mese, per gli Exynos Samsung sono meno di 0,5 al mese, per Qualcomm 1,1 al mese e per HiSilicon 1,9 al mese.
I ricercatori hanno testato circa 1.200 versioni di Android diverse (che è diverso da dire 1.200 dispositivi: ogni smartphone può avere fino a 12 versioni di Android, se riceve le patch di sicurezza ogni mese). In alcuni casi i ricercatori hanno concluso che i produttori hanno semplicemente cambiato la data della patch, senza effettivamente includere alcun fix. Anche nel catalogo dello stesso produttore, si osservano risultati ben diversi a seconda del modello - per esempio, su Galaxy J5 2016 non manca nemmeno una patch, su J3 2016 ne mancano 12 (10 ad alto rischio e 2 critiche).
Security Research Labs ha anche realizzato un aggiornamento per la sua app SnoopSnitch, che permette di scoprire gli eventuali fix mancanti sui propri dispositivi Android in autonomia. Si installa dal Play Store, e offre anche delle funzioni avanzate di monitoraggio degli attacchi e test attivi della rete - ma solo per smartphone con i privilegi di root abilitati e con SoC prodotto da Qualcomm. Non è infallibile: in alcuni casi restituisce "test inconcludente". Ma è un buon punto di partenza per farsi un'idea.
- SnoopSnitch | Google Play Store, Gratis
Interpellata sulla questione, Google ha risposto che è una ricerca molto interessante e che svolgerà indagini più approfondite per conto suo, e analizzerà indipendentemente ogni caso. Ha anche spiegato che in alcuni casi i produttori potrebbero decidere di chiudere una falla togliendo la funzionalità da cui dipende; in quel modo il sistema di SR Labs conteggia un fix mancante, ma non è vero. Altri dispositivi potrebbero non essere certificati ufficialmente da Google, e quindi gestiti con meno rigore.
I ricercatori tuttavia ribattono che queste due circostanze sono una minoranza che non giustifica i risultati complessivi; ritengono comunque possibile la presenza di altri "falsi positivi" - per esempio su alcuni hardware potrebbe essere necessario scrivere codice personalizzato. Sia Google sia i ricercatori, comunque, concordano su un punto: sfruttare una falla aperta è molto più difficile di quanto sembri, a causa dei molteplici livelli di sicurezza posti in essere sia nel sistema operativo sia nel Play Store.
Per il momento nessun produttore coinvolto ha rilasciato dichiarazioni. Chi volesse approfondire le questioni tecniche della ricerca è invitato a consultare le slide originali; il PDF è linkato alla voce FONTE.
Commenti
Ma "test inconclusive" cosa significa? che non capiscono se è patchata o no?
So di cosa parlate, ho ben capito, ma la questione è molto più banale. La domanda è " ti fidi ciecamente di Google ?" . Beh per me la risposta è NO, se per te è SI allora è giusto che limiti
l'acquisizione dati ai servizi essenziali di google. Io sono consapevole del fatto che Google se vuole ha accesso ai miei dati anche se non ho dato autorizzazione.
C'è pure gente che ha la scimmia per i nuovi Nubia! Uh uh!
L'orgoglio dell'ottimizzazione di Motorola è stato superato anche da Wiko. GG
Se 2 anni li fai da inizio 2018 a fine 2019, ora che siamo ad Aprile sono meno di 2 anni.
Manco la matematica sai dove sta di casa, d3fici3nt3.
Il supporto a W10M termina a Dicembre 2019, quindi mancano ancora 2 anni
Nokia o sony aggiornano puntualmente,motorola punta di piú alle versione nuove di android con relative patch ma aggiorna per molto tempo(moto x play 2015 morto con patch di novembre 2017 e quindi con due anni e mezzo di supporto)...la situazione non mi pare tragica,se sei fissato come dici prendi un pixel e vivi sereno.
I telefoni con android stock hanno una maggiore privacy,ad esempio lg ha un software dentro che manda tutti i tuoi dati a loro e figurati se non ce l'ha anche samsung,viva android stock
https : //www . keyforweb . it /lg-ci-spia-ecco-come-disabilitare-lapp-mlt-e-migliorare-anche-le-prestazioni-del-device/
Niente... Solo sana troll3ggiat@
insomma, bene google-samsung e sony (ed era abbastanza evidente) sorpresa wiko
niente di strano per i cinesi xiaomi-oneplus e nokia
ma gli altri, htc-huawei-lg e anche motorola, nessuna sorpresa è, ma potrebbero impegnarsi di più
E che c'entra scan virus con le patch??
Lol
Mai comprare LG, il mio g4 è fermo a luglio 2016
Non ho mai avuto molta fortuna con le beta. Con oneplus soprattutto.
Svegliati e installa la dannata beta, patch di 1 Aprile 2018. Performance a autonomia IDENTICHE alla non beta. Ci vuole così tanto?
OnePlus non ne ha mancata nemmeno una...
Eppure non è "affidabile"?
questo mese? non cambia nome ogni due giorni eh
Ci siamo capiti, parlo della personalizzazione samsung, comunque la vogliano chiamare questo mese...
Ma arriverà nougat al j3 2016?
No. È che sei rimasto indietro tu. È diverso
Oltre alla finte patch di sicurezza bisognerebbe fare un focus sulla brutta abitudine degli OEM di applicare PATCH PARZIALI; questa app non tiene conto delle disclosures complete che includono le parti proprietarie di qcom (cpu, wifi), nvidia, mtk ecc ecc.
I CVE sono presenti all'interno del bulletin android
Per finire (questo vale per Xiaomi) ci sono i trilioni di rom repacked MIUI dove chiunque puó modificare la rom e upparla senza nessuna verifica. È la stessa tipologia di attacco che sfruttano durante l'hack di Ccleaner
L'anno prossimo manco più quello verrà aggiornato.
Un motivo in più per starsene zitti.
il mio LG G6 è fermo alla patch del 1 gennaio, sono scandalosi
Un motivo in più per scegliere W10M
esatto, questo per ora è il principale difetto di nokia, per ora dobbiamo solo fidarci delle promesse, non c'è uno storico che ci da sicurezza
Sei proprio un cogli0nato ahahahaha.
Sei proprio un orlaf
Seeee, così fra un anno lo butti nel cessò (dal quale probabilmente provieni).
870 euro paghi, e non hai nemmeno le parch di sicurezza come i cinesoni. À COGLI0NATO! AHAHAHAHA
Brucia eh, essere uno di quei ricchioni che ha comprato CessMattonellaLumia? Ahahaha
Non preoccuparti per il mio cavo orale, è già occupato dalle tette di tua sorella xD. Magari potresti curvarti ad U e fare da solo, visto che hai un Lumia ahahaha.
Tu intanto succhia, hai da tenere la bocca occupata
ho avuto Galaxy note 3 NEO
riceveva aggiornamento a babbo morto (6 mesi)
quindi per Samsung bisogna (e di molto) circostanziare il discorso a specifici modelli
Che c'è, hai paura di fotografarti il cranio? Ahahahahaha
E certo, hai comprato il Lumia grazie a lui. Substrato di melma putrescente che non sei altro ahahahaha.
me ne faro una ragione. non leggerai ma non mi interessa, non blocco mai nessuno io
https://uploads.disquscdn.c...
Samsung è già al sicuro, come da articolo, come i pixel (google)e i pagamenti sono fatti con knox, zona crittografata.
non c'entra un c****
e due.
E addio anche a te. Dritto nel filtro.
Gli altri non hanno Lumia, cogli0nat0.
e una risposta a quello che hai detto. c'entra e non permetterti piu di usare certi toni.
carissimo tutti gli smartphone hanno necessita di gestire molti dati e quando si apre un id apple e si accetta la licenza per l'utilizzo di ios non e diverso.
nokia me lo sono segnato anche io in positivo, ma da quanto c'è?
Ovvero, chi ci garantisce che quando passeranno uno o due anni continuerà a fornire patch?
non c'entra un c***
sai leggere?
project treble fa anche questo.
il problema è che prima di project treble, non potevi facilmente installare quello che volevi, perchè tutti i driver sono incastrati nella ROM stessa, quindi cambiando rom, dovevi rimetterci pure tutti i driver, invece ora con oreo e project treble, la rom sta sopra ai driver, quindi di fatto puoi installarci AOSP (prima AOSP non potevi proprio installarlo, perchè comunque dovevi partire da AOSP per creare una ROM AOSP + driver vari specifici per il tuo dispositivo)
nokia aggiorna anche i base gamma.. il p9 lite della mia ragazza viene aggiornato ogni mese (non pensavo), il mio xperia X (ok questo al dayone costava quanto un top di gamma pur non essendo un top di gamma) viene aggiornato ogni mese da quando è uscito.
altri produttori anche nella fascia media, non aggiorneranno ogni mese, ma almeno ogni 3 mesi lo fanno un update.
giustamente gli altri smart non richiedono i dati personali
alcuni.
la touchwiz nemmeno esiste più
Scusa pensavo di parlare quantomeno con un adulto.
stai dicendo un mare di stron***te.
Ti filtro così eviterò di leggerle in futuro.
Solo qualche? Io direi che i fortunati ricevono qualche aggiornamento.
Se parliamo di privacy e di tali dati utilizzati, raccolti o diffusi a mia insaputa e contro la mia volontà non c'è assolutamente differenza. Tranne se ti illudi che i tuoi dati personali sono al sicuro con Google, fai pure, ma ti ripeto che è un'illusione di sicurezza, il caso facebook ne è solo un esempio non certo l'eccezione che conferma la regola.
Se non hai ancora capito la differenza tra Google che prende *CERTI DATI* e l'hacker che mi attacca *TROJAZZANDOMI IL SISTEMA* sfruttando le vulnerabilità, non ho altro da aggiungere.
Adios