Patch di sicurezza: alcuni produttori avrebbero fatto i furbetti (foto)

Matteo Bottin In alcuni (per fortuna pochi) casi le patch che si trovavano nel firmware erano più vecchie di quanto riportato nelle informazioni del dispositivo (o mancavano).

Alcune volte i produttori sono molto rapidi nel aggiornare i propri dispositivi alle più recenti patch di sicurezza. Da una ricerca condotta dalla tedesca Security Research Labs (SRL), però, pare che in alcuni casi le patch indicate non fossero quelle realmente presenti nel dispositivo.

La ricerca è durata due anni, durante i quali i ricercatori hanno eseguito un reverse-engineering su 1.200 sistemi operativi ufficiali installati su smartphone Android sviluppati da più di una dozzina di produttori. In alcuni casi è stato riscontrato un “patch gap“: la patch di sicurezza indicata (es: 5 aprile 2018) in realtà non conteneva tutte le patch del periodo, lasciando lo smartphone vulnerabile a particolari exploit. Se non dovesse bastare, “in alcuni casi gli sviluppatori hanno solamente cambiato la data della patch senza installare alcun aggiornamento, probabilmente per ragioni di marketing”.

LEGGI ANCHE: Cosa sono e come funzionano le patch di sicurezza in Android

Il risultato finale è altalenante: alcuni produttori (anche tra i più blasonati come Sony e Samsung) hanno perso qualche patch, ma il problema è eterogeneo: per fare un esempio, mentre il Galaxy J5 2016 è sempre stato “onesto”, il Galaxy J3 2016 pareva fosse stato aggiornato a tutte le patch del 2017, ma in realtà ne mancavano 12 (2 considerate tra l’altro “critiche”).

SRL ha anche fornito interessanti grafici (in galleria): alcuni produttori sono più “honesti” (come Sony e Samsung, con 0-1 patch mancate), mentre altri hanno la tendenza ad essere più falsi (come ZTE con 4+ patch mancate). In alcuni casi è proprio il produttore del chip ad essere responsabile per le patch non fornite: MediaTek, per esempio, ha una media di 9,7 patch mancate.

I colleghi di WIRED hanno anche contattato Google in merito: il colosso di Mountain View ha ribadito che alcuni dispositivi analizzati da SRL potevano non essere certificati, e che, alcune volte, piuttosto che implementare la patch, i produttori hanno preferito rimuovere direttamente la funzionalità. Altre volte, la funzionalità non era presente nemmeno dall’inizio.

Si tratta dunque di un problema da non sottovalutare in alcuni casi. Karsten Nohl (ricercatore di SRL) è però d’accordo con Google: sfruttare una mancata patch di sicurezza per accedere ai contenuti di un telefono è difficile. Infatti, spesso vengono usati altri metodi per ottenere i dati sensibili, come il forzare l’installazione di applicazioni da fonti diverse dal Play Store. Cosa ne pensate?

 

Via: The VergeFonte: WIRED