Sorpresa: gli smartphone economici sono meno sicuri e affidabili

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Gli smartphone meno costosi sono meno sicuri e più suscettibili ai pericoli digitali come virus e vulnerabilità. A dirlo non è solamente il buonsenso, o una semplice formula matematica derivata dalle leggi del mercato, ma anche i risultati di una ricerca di due anni condotta su oltre 1.200 modelli di smartphone che non solo hanno dimostrato l’assioma, ma ha anche evidenziato che molti produttori di device hanno sostanzialmente mentito ai propri utenti in merito al livello di sicurezza fornito sui propri smartphone.

Patch di sicurezza saltate o falsamente implementate, unicamente per presentare alla clientela telefoni sicuri che, in realtà non lo erano affatto: siete pronti per scoprire tutti i motivi per cui i produttori di smartphone vi hanno mentito, e perché gli smartphone meno costosi sono anche meno sicuri?

CATCH THE PATCH

Le patch di sicurezza sono uno dei tanti strumenti attraverso i quali Google e i produttori di smartphone difendono la privacy dei dati degli utenti e la sicurezza delle loro informazioni sensibili, come password e PIN di account bancari e sociali.

Le patch di sicurezza risolvono vulnerabilità di vario grado in cui il sistema operativo o le componenti del device incorrono: queste vengono condivise ogni mese da Google che, esattamente con questa periodicità, provvede a fornire ai suoi prodotti di telefonia (gli smartphone Pixel) il più alto livello di protezione disponibile. Gli smartphone Pixel non dispongono dunque di un vantaggio competitivo – Google non trattiene per sé informazioni fondamentali per il rilascio delle patch – ma includono nel prezzo di vendita anche un supporto garantito di 18 mesi ad aggiornamenti del SO e patch.

Patch di sicurezza
Lo stato di rilascio delle patch di sicurezza nei maggiori produttori (Fonte: XDA Developers)

E gli altri device? Proprio come per gli aggiornamenti di Android, dipende dal produttore: solitamente i device di fascia alta, i cosiddetti Top di Gamma, ricevono maggiori cure da parte della casa madre poiché gli stessi update vengono inclusi nel prezzo di vendita. Viceversa, i modelli minori o più economici tendono ad essere abbandonati dalla casa di sviluppo dopo poco tempo – emblematico di questo circolo vizioso è lo stato di aggiornamento delle decine di modelli secondari di Samsung, fermi al palo dal quale non sono mai partiti.

Oltre a strategie di mercato, a incidere sulla percentuale di distribuzione delle patch di sicurezza sembra incidere anche la qualità dei componenti e soprattutto il grado di affidabilità di un produttore.

LA RICERCA DEI SECURITY RESEARCH LABS

Stando infatti alla ricerca effettuata dagli analisti Karsten Nohl e Jakob Lell per i Security Research Labs e presentata all’ultimo evento Hack In A Box di Amsterdam, su oltre 1.200 modelli di smartphone provenienti da un’ampia rosa di produttori (Google, Nokia, Sony, HTC, ZTE, Xiaomi e via discorrendo) alcuni di questi sono stati scoperti in possesso di un numero di patch di sicurezza inferiore rispetto a quello dichiarato dal produttore.

Dimenticanza? Spesso è così: un produttore può semplicemente mancare di aggiornare un device all’ultima patch perché contenente risoluzioni di bug di secondaria importanza, o perché non essenziale per la salute del dispositivo. In altri casi, diventa più difficile spiegare l’assenza di più di una patch di sicurezza da modelli provenienti non da semi-sconosciuti OEM di origine cinese, ma da produttori con una solida storia alle spalle come HTC, LG, OnePlus.

Le patch di sicurezza proteggono gli smartphone dalle vulnerabilità, dai bug e dagli exploit del SO e dei componenti

Nello specifico, Nohl e Lell hanno preso in considerazione l’intero 2017 quale finestra temporale per l’analisi dello stato di release delle patch di sicurezza da parte dei produttori; le considerazioni sono state in alcuni casi sorprendenti, in altri addirittura allarmanti. La rivista WIRED, con la quale i ricercatori hanno collaborato, cita il caso di due device – i modelli Samsung Galaxy J5 e J3, entrambi del 2016: mentre il primo non sembra aver perso una sola release nell’ultimo anno, al secondo ne mancano all’appello ben 12.

Secondo Nohl, il problema sembra essere ben superiore alla semplice negligenza, o a una possibile arteriosclerosi dell’intero comparto-aggiornamenti degli OEM: in alcuni casi – pochi, per fortuna, ma comunque in numero significativo da risaltare tra i dati della ricerca – le patch mancate sono state volutamente nascoste e le date di rilascio falsificate di molti mesi, per lasciar credere agli utenti di aver aggiornato i propri modelli un numero di volte superiore a quello poi realmente eseguito. Una truffa bella e buona volutamente intesa per motivi d’immagine e di marketing. D’altra parte, “è quasi impossibile per un utente venire a conoscenza del numero reale di patch installate sul proprio smartphone”, dice Nohl, e dunque gli stessi produttori corrono un rischio davvero basso, se non nullo, di venire scoperti.

Ma quali sono i motivi principali che possono spingere un produttore a non aggiornare i propri modelli?

I MODELLI ECONOMICI SONO MENO SICURI?

La lingua batte dove il dente duole, e così anche le cause che Nohl enumera a spiegazione del mancato stato di update di molti dei dispositivi controllati dal team confermano quella che sembra essere molto più che un’impressione.

I device economici tendono ad essere meno sicuri di quelli più costosi: controllando infatti il numero di patch di sicurezza falsamente dichiarate in media per smartphone (ma solo quelli che avessero ricevuto una patch almeno per l’ottobre 2017) e raggruppate sia per produttore (la prima), sia per marca di processore (la seconda), notiamo una corrispondenza con le ultime categorie che non può essere una mera coincidenza. ZTE e TCL, due produttori cinesi semi-sconosciuti, insieme agli smartphone dotati di processori Mediatek – i quali, per quanto migliorati negli ultimi anni, rimangono comunque un’alternativa economica ai prodotti Qualcomm – si qualificano come i meno affidabili poiché colpevoli di aver riportato il maggior numero di patch di sicurezza “fasulle.

Ma l’inaffidabilità dei produttori non è l’unica spiegazione: come riportato dal duo Nohl-Lell, spesso bisogna attribuire la giusta percentuale di colpa agli stessi fabbricanti di chipset, Mediatek in particolare, i quali mancano di rilasciare le patch di sicurezza per vulnerabilità relative al processore stesso, costringendo poi il produttore di smartphone a “saltare” l’aggiornamento. E visto che i processori Mediatek sono la scelta preferita dagli OEM cinesi, basta solo mettere in fila le tessere del domino per ottenere la figura completa.

La lezione è questa: se ti affidi ad un device economico, finirai nella parte meno mantenuta e curata dell’ecosistema

Contattato dai ricercatori, Google ha ringraziato SRL per il lavoro svolto dichiarando che si servirà dei risultati della ricerca per maggiori approfondimenti; ciononostante, ha anche fornito una serie di spiegazioni ulteriori per alcuni punteggi davvero bassi guadagnati dai produttori coinvolti nelle statistiche relative alle patch non rilasciate:

  • alcuni smartphone presi in considerazione potevano non essere ufficialmente parte di Android, ossia non essere in possesso di un certificato di riconoscimento rilasciato da Google e dunque sottoposti alle sue regole in materia di update e sicurezza dei device;
  • in alcuni casi, il produttore potrebbe aver mancato di installare la patch di sicurezza poiché la feature oggetto del bug, poi rimosso, non era mai stata presente nello smartphone;
  • in altre occasioni l’OEM potrebbe aver risolto il problema semplicemente rimuovendo la funzionalità colpita dalla vulnerabilità, piuttosto che attendere una patch o effettuarne la sua release.

LE PATCH DI SICUREZZA SONO DAVVERO NECESSARIE?

Da un altro punto di vista, fa notare sempre Google, l’assenza di alcune patch di sicurezza potrebbe non essere un problema tanto grande come appare sulla carta: esse rappresentano solamente uno dei tanti layers di protezione che il sistema operativo applica ai dati ospitati al suo interno, tra algoritmi e crittogragrafia.

Questo fatto, insieme alla difficoltà per un hacker medio di servirsi di un exploit per penetrare le difese di un device, pone all’utente altre priorità in materia di sicurezza digitale: malware su Google Play, virus scaricati da Internet sono minacce molto più concrete e pressanti che possono mettere a rischio l’incolumità delle proprie informazioni personali molto più facilmente e velocemente di un exploit non risolto. Che rimane comunque una minaccia.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//