Google è soddisfatto di come sia aumentata la sicurezza di Android nell'ultimo anno (e voi?)

Nicola Ligas
Nicola Ligas Tech Master
Google è soddisfatto di come sia aumentata la sicurezza di Android nell'ultimo anno (e voi?)

Google ha fatto il punto sulla sicurezza di Android nel 2016, confermando che si è trattato di un anno molto importante in quanto alla crescita della sicurezza devi device (e degli utenti) Android.

Secondo appena condivisi, sono 1,4 miliardi gli utenti Android protetti dagli strumenti di Google, che tramite Verifica App ha controllato ogni giorno 750 milioni di applicazioni (450 milioni in più del 2015), portando ad una drastica diminuzione di app potenzialmente dannose.

I trojan sono diminuiti del 51,5% rispetto al 2015, rappresentando solo lo 0,016% delle installazioni totali. Nel 2016, lo 0,05% dei dispositivi che ha scaricato app esclusivamente da Google Play conteneva comunque app potenzialmente dannose, rispetto allo 0,15% del 2015. Gli "hostile downloader" sono diminuiti del 54,6% rispetto all'anno precedente e rappresentano ora lo 0,003% delle installazioni. Le backdoor sono calate del 30,5% in confronto al 2015: ora sono anch'esse allo 0,003% delle installazioni. Le app di phishing sono calate del 73,4% di anno in anno, ed ora sono allo 0,0018% delle installazioni.

Oltre 735 milioni di dispositivi di più di 200 produttori hanno ricevuto un aggiornamento per la sicurezza nel 2016, e Google stesso ha elargito circa 1.000.000 di dollari in premi attraverso il suo programma di ricompense per chi abbia scovato nuovi bug.

Questo è il risultato anche dei mensili aggiornamenti di sicurezza, lanciati nel 2015 in seguito a Stagefright, e che ormai rappresentano il "pilastro della sicurezza sui dispositivi mobile", dato che nel 2016 sono stati rilasciati aggiornamenti mensili per i dispositivi con Android 4.4.4 e versioni successive, che costituiscono l'86,3% di tutti i dispositivi Android attivi in tutto il mondo, al punto che, nell'ultimo trimestre del 2016, gli aggiornamenti sono stati disponibili per oltre la metà dei 50 dispositivi più diffusi nel mondo. Google ha comunque confermato a TechCrunch di essere al lavoro con i propri partner per aumentare la tempestività e soprattutto la regolarità di questo tipo di aggiornamenti.

È insomma un report molto bello in apparenza, anche se le percentuali dicono solo una parte della storia.

A che numero di preciso corrispondono quegli "zero-virgola" di dispositivi infetti pur avendo usato solo il Play Store? Quanti aggiornamenti di sicurezza sono stati rilasciati per device con Android 4.4.4? Difficilmente uno ogni mese, come dovrebbe essere. Android è un ecosistema ancora troppo eterogeneo e frammentato, e se da una parte gli ultimi top di gamma godono di un trattamento di favore da parte dei propri produttori, altrettanto non vale per quelli vecchi. Se poi è vero che Google è in prima linea impegnato per i suoi dispositivi, c'è anche da dire che i Pixel non sono mai arrivati in Italia ed i Nexus non è che siano mai stati troppo diffusi dalle nostre parti, pertanto la portata della sua influenza è limitata.

Possiamo insomma dormire sonni tranquilli in generale, ma forse non troppo profondi. A seguire un lungo video riassuntivo, una sintetica infografica e la traduzione del comunicato inglese in merito alla sicurezza Android del 2016.

Varie protezioni per un ecosistema vario: report annuale sulla sicurezza di Android 2016

Rendiamo disponibile oggi il terzo report annuale sulla sicurezza di Android - Android Security Year In Review - che esamina il lavoro che abbiamo fatto nell’anno appena trascorso per proteggere oltre 1,4 miliardi di utenti Android e i loro dati.

Il nostro obiettivo è semplice: tenere al sicuro i nostri utenti.  Nel 2016 abbiamo migliorato le nostre capacità di eliminare app dannose, realizzato nuove feature per la sicurezza in Android 7.0 Nougat e abbiamo collaborato con i produttori dei dispositivi, i ricercatori e gli altri membri dell'ecosistema Android.

Per maggiori dettagli potete leggere il Report annuale completo o guardare il nostro webinar.

Proteggere gli utenti dalle app potenzialmente dannose

E’ importante per noi proteggere proteggere gli utenti dalle app potenzialmente dannose che possono mettere a rischio dati o dispositivi. In quest'ottica, dobbiamo continuamente cercare modi per identificare e fermare queste app e prevenire quelle che non sono ancora nate.

Negli anni, abbiamo realizzato vari sistemi per affrontare queste minacce. In cima alla lista ci sono l'analisi delle app, che controlla in modo costante le applicazioni in cerca di comportamenti poco sicuri, e il servizio Verifica app che esegue regolari controlli sui dispositivi degli utenti.

Quando questi sistemi identificano delle app potenzialmente dannose, avvisiamo gli utenti e suggeriamo di valutare bene il download di una certa app o addirittura di rimuoverla dal dispositivo. Teniamo regolarmente sotto controllo le minacce e miglioriamo i nostri sistemi nel tempo. I dati dello scorso anno fanno emergere questi miglioramenti: Verifica app ha effettuato 750 milioni di controlli quotidiani nel 2016, 450 milioni in più dell'anno precedente, permettendoci di ridurre la media delle installazioni di app potenzialmente dannose in tutti i 50 paesi dove Android è usato maggiormente.

Google Play si conferma lo spazio da cui gli utenti Android possono scaricare le app in maggiore sicurezza. Le installazioni di app potenzialmente dannose da Google Play sono diminuite in quasi tutte le categorie:

  • I trojan sono diminuiti del 51,5% in confronto al 2015: ora rappresentano lo 0,016% delle installazioni.

  • Gli "hostile downloader" sono calati del 54,6% in confronto al 2015: ora rappresentano lo 0,003% delle installazioni.

  • I backdoor sono calati del 30,5% in confronto al 2015: ora rappresentano lo 0,003% delle installazioni.

  • Le app per il phishing sono calate del 73,4% in confronto al 2015: ora rappresentano lo 0,0018% delle installazioni.

Nel 2016, solo lo 0,05% dei dispositivi che ha scaricato app esclusivamente da Google Play conteneva app potenzialmente dannose; c'è stata quindi una diminuzione dallo 0,15% del 2015.

In ogni caso, c'è ancora del lavoro da fare per i device, specialmente per quelli che installano app da molte fonti. Anche se solo sullo 0,71% di tutti i dispositivi Android c'erano app potenzialmente dannose installate alla fine del 2016, c'è stato un leggero aumento dall'inizio del 2015, quando il dato era di circa 0,5%. Grazie agli strumenti realizzati e alle nozioni acquisite nel 2016, pensiamo di poter ridurre il numero di dispositivi che con app potenzialmente dannose nel 2017, a prescindere da dove vengano scaricate.

Nougat: nuove protezioni per la sicurezza

Lo scorso anno abbiamo inserito una serie di nuove protezioni in Nougat e abbiamo proseguito il nostro lavoro per rafforzare la sicurezza del kernel Linux.

  • Crittografia migliorata: in Nougat, abbiamo introdotto la crittografia basata su file, che permette a ogni profilo utente su un singolo dispositivo di essere crittografato con una chiave unica. Se si ha account personali o di lavoro sullo stesso device, per esempio, la chiave non può sbloccare dati dall’altro account. Più in generale, la crittografia dei dati utente si è resa necessaria per i dispositivi Android idonei già a fine 2014, e ora riscontriamo che questa funzionalità è abilitata su oltre l'80% dei dispositivi Android Nougat.

  • Nuove protezioni per audio e video: abbiamo lavorato molto per migliorare la sicurezza e  ristrutturare il modo in cui Android gestisce i file video e audio. Ad esempio, ora teniamo i diversi componenti multimediali in singoli sandbox, dove prima invece erano insieme. Se un componente è compromesso non concede automaticamente autorizzazioni agli altri e aiuta ad arginare altri eventuali problemi.

  • Maggiore sicurezza per gli utenti enterprise: per gli utenti enterprise, abbiamo introdotto una serie di nuove funzionalità tra cui la VPN "sempre attiva", che protegge i dati dal momento in cui il dispositivo viene avviato assicurando che non si spostino tra un telefono aziendale e un dispositivo personale su una connessione non sicura. Abbiamo anche aggiunto trasparenza sulle policy di sicurezza, process logging, migliorato la gestione della connessione al wifi e la certificazione dei clienti al nostro set in crescita di tool per le aziende.

Lavorare insieme per mettere in sicurezza l'ecosistema Android

Condividere le informazioni sulle minacce alla sicurezza tra Google, i produttori di dispositivi, la comunità di ricerca e altri aiuta a tenere al sicuro tutti gli utenti di Android. Nel 2016, le maggiori collaborazioni hanno avuto luogo nell'ambito del programma di aggiornamenti mensili per la sicurezza e nella partnership con la comunità di ricerca sulla sicurezza.

Gli aggiornamenti per la sicurezza vengono regolarmente indicati come pilastro della sicurezza sui dispositivi mobile, e c'è un motivo. Abbiamo lanciato il nostro programma di aggiornamenti mensili per la sicurezza nel 2015, a seguito della pubblica divulgazione di un bug in Stagefright, per aiutare ad accelerare la risoluzione delle vulnerabilità di sicurezza su tutti i dispositivi di vari produttori. Questo programma ha subito una notevole espansione nel 2016:

  • Oltre 735 milioni di dispositivi di più di 200 produttori hanno ricevuto un aggiornamento per la sicurezza della piattaforma nel 2016.

  • Abbiamo rilasciato aggiornamenti mensili per la sicurezza di Android nel corso dell’anno per i dispositivi con Android 4.4.4 e versioni successive, che costituiscono l'86,3% di tutti i dispositivi Android attivi in tutto il mondo.

  • I produttori di hardware e i gestori telefonici con cui abbiamo stretto delle partnership hanno contribuito a aumentare la distribuzione di questi aggiornamenti: nell'ultimo trimestre del 2016, gli aggiornamenti sono stati disponibili per oltre la metà dei 50 dispositivi più diffusi nel mondo.

Abbiamo aggiornato con cadenza mensile  i dispositivi Pixel e Nexus nel corso del 2016 e siamo lieti di vedere che i nostri partner investono in maniera significativa in questi aggiornamenti. Ma c'è ancora molto lavoro da fare per migliorare. Circa la metà dei dispositivi in uso alla fine del 2016 non ha ricevuto un aggiornamento per la sicurezza della piattaforma nell'anno precedente.

Lavoriamo per aumentare gli aggiornamenti per la sicurezza dei dispositivi attraverso l’ottimizzazione del nostro programma sull’aggiornamento della sicurezza al fine di rendere più semplice per i produttori rilasciare aggiornamenti sulla sicurezza e A/B updates. Ciò rende più facile per gli utenti far uso concreto di questi aggiornamenti.

Per quanto riguarda la ricerca, il nostro programma Android Security Rewards è cresciuto rapidamente: i ricercatori hanno ricevuto quasi un milione di dollari per le loro segnalazioni nel 2016. Allo stesso tempo, abbiamo lavorato a stretto contatto con varie aziende che si occupano di sicurezza per identificare e risolvere i problemi che mettevano a rischio i nostri utenti. Apprezziamo il grande lavoro fatto dai partner di Android, i ricercatori esterni e i team in Google che sono alla guida dei progressi dell'ecosistema nell'ambito della sicurezza nel 2016. Il nostro lavoro però non finisce qua. Tenere al sicuro gli utenti richiede attenzione e sforzo costanti. Non vediamo l'ora di vedere nuovi progressi e nuove scoperte nel 2017 e oltre.

Fonte: Google