Chi è CopperheadOS, la versione di Android che risolverà tutti i suoi problemi di sicurezza

Se dovessimo stilare una lista dei peggiori pericoli che Android dovrà affrontare nei prossimi due anni, al primo posto della lista non esiteremmo a porre l’argomento “Sicurezza”. Sin dallo scandalo NSA l’attenzione del mondo digitale, ebbro di prestazioni, nuovi chipset e numeri che gonfiavano la vela delle preformances e che rendevano qualunque altro tema di confronto assolutamente secondario, si è focalizzata sulla privacy e sulla capacità di una fonte o risorsa di mantenere i dati utilizzati al suo interno (quasi) al sicuro, al riparo da ogni sguardo. Android non c’è riuscito, ma riuscirà CopperheadOS laddove molti altri hanno fallito?

Stiamo infatti parlando di una giovane start-up, fondata da due canadesi – e solamente da loro composta – che però è riuscita a guadagnarsi due alleati del calibro di F-Droid (lo store open-source di Android) e The Guardian Project, sviluppatore di uno dei più famosi portali per il deep web di Android, Orbot ed Orfox e procede spedita verso la realizzazione di una versione di Android completamente sicura.

La strada è lunga e spesso sconnessa, ma i due giovani non sono spaventati: siete pronti a scoprire chi è e cos’è CopperheadOS?

Alla sicurezza ci penso io, che ai miei nemici ci pensa Android

Un motto molto rielaborato ma che dev’essere stato pressapoco quanto devono aver pensato i fondatori di CopperheadOS, i quali hanno dato vita al proprio progetto proprio per supplire alle notevoli mancanze in termini di sicurezza da parte di Android di cui accusano Google ed i produttori di essere la causa principale ed al contempo indiretta.

Stando Chris Soghoian, principale responsabile tecnologico del  Speech, Privacy, and Technology Project all’American Civil Liberties Union e sostenitore di CopperheadOS, Google ha stretto un “patto col diavolo” tollerando il comportamento più che criminale dei produttori di smartphone nei confronti dei diritti alla sicurezza che il miliardo e più di utenti che il sistema operativo possiede. Nonostante infatti gli scandali sempre più voluminosi che hanno recentemente visto Android al centro della scena siano stati immediatamente sedati dall’intervento (alle volte tempestivo, altre volte no) delle patch di sicurezza di Google, gli OEM (Original Equipment Manufacturers) non si sono preoccupati di recapitare agli utenti questi veri e propri rifornimenti che, in tempo di guerra contro il crescente nemico dei malware, rappresentano manne dal cielo non indifferenti.

Motorola ed altri partner non inviano mensilmente le patch di sicurezza di Google, altri produttori non aggiornano nemmeno i propri device venendo meno al patto stilato nel 2009 (la cosiddetta “Android Update Alliance“, nata e morta nel giro di pochi mesi e che rappresentò il primo ed unico colpo di mano da parte di Google per costringere i produttori ad estendere il supporto ben oltre la data di acquisto del device). Dato che per le grandi società non esiste alcun profitto generato nell’assicurare un supporto prolungato ai propri device – nonostante si gridi allo scandalo-Samsung ed alla sua sterminata famiglia di device secondari lanciati dall’Olimpo coreano come piccoli Efesto appena dopo la nascita, non si tratta assolutamente dell’unico colpevole – si capisce bene come ancora oggi siano milioni gli smartphone potenzialmente in pericolo.

CopperheadOS vuole riuscire dove Android ha fallito, o forse non ha mai tentato di riuscire: trovare un’alternativa alle bizze dei produttori. Sembra infatti che Google non possieda grandi mezzi di persuasione (la licenza di Android e Google Play rappresentano gli unici strumenti contrattuali) dato che il codice AOSP, dotato di una licenza Apache 2.0, è replicabile sotto altre forme ed esiste pur sempre l’Amazon App Shop (ugh!) per contrastare il Play Store; se dunque persino Google volta le spalle ai propri utenti, è proprio in questo momento che entra in campo CopperheadOS.

Tutti i pregi di CopperheadOS

Se dunque CopperheadOS è deciso a supplire i difetti in termini di sicurezza di Google, occorre che sappia convincere gli utenti Android che la propria alternativa sia più sicura: realizzare dunque una versione di Android difficile, se non impossibile da penetrare da parte di exploit e differenti famiglie di malware.

La sicurezza c’è, e le ragioni sono molteplici: alla base di tutto si trova però Grsecurity ed il suo subset PaX, molto conosciuti nell’ambiente dei PC Linux; grazie all’amicizia ed il supporto del fondatore del Grsecurity Project Brad Spengler, CopperheadOS si può dunque assicurare la presenza di una delle più solide serie di patch di sicurezza di Linux che provvede, grazie a PaX, ad aumentare ulteriormente la relativa invulnerabilità del sistema con l’address space layout randomization (ASLR), che randomizza importanti elementi della memoria.

Oltre a ciò troviamo un’architettura completamente open-source e votata alla trasparenza più totale, senza però prestare il fianco ad attacchi spiacevoli che possono mettere in pericolo la sicurezza dei dati: per questo motivo CopperheadOS ha stretto una partnership con F-Droid e The Guardian Project, due importanti voci all’interno del mondo della privacy digitale.

Investendo in F-Droid, un market di terze parti completamente dedicato alle app open-source e realizzato da un’agenzia no-profit inglese, CopperheadOS serve ai suoi utenti un’alternativa a Google Play più sicura ed affidabile (perlomeno, noi speriamo che lo sia); nonostante comunque F-Droid sarà lo store principale, rimarrà la compatibilità con il Play Store.

L’arrivo di The Guardian Project invece permette a CopperheadOS di integrare applicazioni estremamente sicure ed affidabili sul piano della privacy dei dati personali come il browser Orfox ed Orbot, ChatSecure, ObscuraCam e librerie software come NetCipher, SQLCipher e PanicKit per tutti gli sviluppatori che desiderino cimentarsi nell’impresa di sviluppo di app compatibili.

Non è tutto rose e fiori

Ma il cammino di CopperheadOS è costellato da impedimenti che potrebbero compromettere, o quantomeno ritardare, il successo di un progetto che potenzialmente potrebbe giovare non soltanto alla molto relativamente ristretta cerchia di possessori di dispositivi Android, ma a miliardi di utenti in possesso di piattaforme basate su Linux ed i suoi derivati.

Anche se infatti è stato eseguito un porting della quasi totalità delle patch di Grescurity per i dispositivi con architettura ARM32, quasi nulla è stato fatto per i device con struttura ARM64, così come sono i Nexus, ossia gli unici dispositivi che attualmente CopperheadOS supporta per una serie di ragioni.

Spengler è stato chiaro: il suo team non può permettersi di eseguire un lavoro che richiederebbe diverse settimane di adattamento per ogni patch in totale gratuità. “Non abbiamo alcuna necessità di estendere il supporto agli ARM64“, ha detto, e di conseguenza non verranno fatti passi avanti se prima non saranno aggiunti nuovi fondi al progetto.

Soghoian riporta che fortunatamente il US Department of Homeland Security sarebbe interessato a finanziare il progetto, ma è più probabile che intervenga prima il Core Infrastucture Initiative (CII), un progetto multimilionario organizzato dalla Linux Foundation ma finanziato da elementi come Amazon, Google e Microsoft: se Grsecurity potenzialmente potrebbe aiutare tutti i dispositivi Linux del pianeta, non c’è motivo per cui il CII non debba intervenire. Nel dicembre 2016 è stato poi annunciata la partnership con NCrypt Cellular, consentendo a CopperheadOS di entrare nel mercato australiano e neozelandese.

Nuovi fondi aiuterebbero poi CopperheadOS ad estendere il proprio sistema anche ad altri dispositivi; tutti gli smartphone Android – Nexus compresi – integrano vecchi kernel Linux non supportati da Grsecurity e PaX, per varie ragioni; la principale riguarda una compatibilità di fondo dei driver, per cui un driver vecchio può essere utilizzato su uno smartphone nuovo dato che i kernel sono rimasti intatti da una generazione all’altra della serie di device.

In attesa di nuovi finanziamenti, CopperheadOS punta sulle donazioni private; in particolare è possibile comprare i Pixel e Pixel XL dal sito del progetto al prezzo originale, ma includente anche il supporto sino al 2018 dei security update – anche se si trattano dei modelli compatibili solo con il mercato nordamericano.

Scopri QUI come aumentare la sicurezza della tua privacy online con i nostri trucchi e Saggi Consigli a riguardo!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè i prossimi Approfondimenti nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!