Cosa sono e come funzionano le patch di sicurezza in Android

Roberto Artigiani Tutto quello che non avete mai osato chiedere (o sapere).

Per molto tempo Android ha avuto la reputazione di essere meno sicuro di iOS per via dell’approccio da “giardino recintato” di Apple. Al di là della questione, su cui non ci soffermeremo, è innegabile che Google abbia compiuto parecchi sforzi negli ultimi anni per aumentare il livello di sicurezza. Versione dopo versione, le cose sono andate migliorando, ma il sistema rimane frammentato e piuttosto complicato da gestire.

Tenere un dispositivo al riparo dalle minacce è un lavoro che non ha mai fine e richiede uno sforzo assiduo, per questo Google rilascia ogni mese un bollettino di sicurezza in modo che tutti i produttori possano mettere al riparo le loro creature dalle ultime vulnerabilità scoperte. Si tratta di un’organizzazione che in futuro potrebbe cambiare radicalmente, ma questa è un’altra storia.

Negli ultimi 6 mesi si sono succedute le notizie di falle di sicurezza di dimensioni tanto allarmanti da portate l’argomento all’attenzione generale. BlueBorne, KRACK, Spectre e Meltdown sono alcuni dei nomi che abbiamo sentito e che probabilmente hanno contribuito a sensibilizzare la massa su un tema tanto complesso quanto importante.

Per capire come funziona la soluzione bisogna prima di tutto capire la natura del problema. Infatti se la vulnerabilità riguarda solamente il sistema operativo o un’applicazione, un aggiornamento software la dovrebbe poter risolvere; ma se ci si imbatte in criticità che coinvolgono componenti hardware, come Bluetooth, Wi-Fi o CPU, allora la soluzione deve essere trovata in collaborazione con il produttore dell’hardware in questione.

LEGGI ANCHE: La sicurezza di Android è ora da leader del settore, parola di Google

A complicare ulteriormente le cose per Android c’è il fatto che il livello che riguarda il sistema operativo è legato a doppio filo alle personalizzazioni effettuate dal produttore e a volte anche dall’operatore telefonico. Android è infatti un sistema aperto, e chi produce smartphone o tablet ha tutto l’interesse a differenziarsi fornendo ai propri utenti un’esperienza unica e riconoscibile.

Nel momento in cui Google rilascia una delle sue patch mensili di sicurezza, i vari produttori devono quindi risolvere tutte le vulnerabilità riportate per poter affermare che il dispositivo rispetti quel certo livello di sicurezza. Ogni mese ci sono due livelli di patch cui un dispositivo può essere aggiornato: la patch del primo del mese o la patch del 5. Entrambe contengono gli aggiornamenti di sicurezza per il framework (in pratica il sistema operativo) e per la personalizzazione apportata dal produttore relativi al mese precedente, ed anche l’aggiornamento del framework per il mese corrente. La patch del 5 contiene inoltre anche l’aggiornamento della personalizzazione dal produttore per il mese in corso. Confusi? Lo schema seguente renderà tutto più chiaro.

Livello Patch di Sicurezza Android 1 aprile 5 aprile
Framework – marzo X X
Produttore – marzo X X
Framework – aprile X X
Produttore – aprile X

Se un certo OEM scegliesse quindi di aggiornare un certo suo smartphone con le patch del 1° del mese, significa che quel dispositivo non avrà le patch di sicurezza più recenti relative proprio alla personalizzazione fatta dal produttore stesso. Viceversa, scegliendo l’aggiornamento del 5, c’è la massima copertura.

Se avete confidenza con la questione della frammentazione di Android, vi state probabilmente rendendo conto di quanto possa essere intricata e scadente la situazione degli aggiornamenti di sicurezza nel vasto reame del robottino verde. Per quanto Google sia puntuale con i suoi bollettini i produttori non hanno obblighi né vincoli nel diffondere le patch e, come potete vedere dalla tabella qui sotto, ognuno fissa le proprie regole in merito.

A volte quindi non è detto che un produttore non sia più interessato ad un certo dispositivo oppure che sia “pigro”. Nel caso in cui fosse coinvolto un componente hardware, come dicevamo, la questione può farsi particolarmente lunga e complicata. Insomma non possiamo che augurarci che Google metta mano al problema e decida di rivedere questa organizzazione (e magari Project Treble servirà anche a questo), altrimenti, alla frammentazione “tradizionale”, si aggiungerà facilmente anche quella relativa alla sicurezza.

Via: XDA Developers