Ogni mese Google pubblica aggiornamenti di sicurezza per Android, ma non tutti gli smartphone li ricevono tempestivamente; anzi, a differenza del mondo Microsoft, nel quale Windows 7 viene ancora regolarmente aggiornato, molti smartphone devono fare a meno del supporto, a distanza di pochi anni dalla loro commercializzazione. Ad esempio, gli ancora utilizza- tissimi Samsung Galaxy S6 e S6 Edge non ricevono più aggiornamenti per funzionalità e sicurezza. Cosa c’è dietro, e quali telefoni Android saranno ancora aggiornati? Di seguito cercheremo di sbrogliare questa intricata matassa sugli aggiornamenti Android.
Hardware ancora in perfetta forma
Il fatto che il Galaxy S6 e l’S6 Edge, smartphone considerati top nel 2015, non siano pezzi da museo è dimostrato dal confronto con device attuali come l’LG G6 o il Sony Xperia XZ2 Compact. Questi smartphone hanno raggiunto il punteggio di 7,60 nei nostri test, proprio come l’S6, che però è arrivato sul mercato ad aprile del 2015 e da allora ha venduto più di 50 milioni di pezzi. Anche rispetto all’attuale numero uno della nostra classifica, il Galaxy S9, che ha ottenuto un punteggio di 8,4, l’S6 Edge non sfigura di certo. In breve: i Galaxy S6 sono ancora fisicamente in forma, ma mentalmente instabili.
Un vero shock per gli utenti degli S6!
Esistono milioni di utenti soddisfattissimi dei propri S6 e S6 Edge, per questo, soprattutto per chi non sente il bisogno di un nuovo smartphone, l’interruzione del supporto da parte di Samsung è
un vero shock. In redazione sono arrivate centinaia di email da parte di lettori arrabbiati: gli utenti dell’S6 si sono lamentati per il comportamento dell’azienda e per la “politica aziendale ostile al consumatore”. In alcune dichiarazioni successive, tuttavia, Samsung ha fatto una sorta di parziale marcia indietro, affermando che avrebbe continuato a fornire ai propri clienti aggiornamenti per il software di sistema e quelli critici per la sicurezza. Ma chi decide cosa è critico e cosa è rilevante? Dopotutto, Google riporta mensilmente diverse falle di sicurezza, classificandole spesso come “critiche”. La dichiarazione di Samsung sembra più un tentativo di ammorbidire la situazione che non un reale impegno verso i clienti degli smartphone non più aggiornati. Il rischio rimane, ma questo non è un problema esclusivo del produttore sudcoreano.
Aggiornare è costoso
La colpa della débàcle sugli aggiornamenti non è soltanto da ascrivere ai produttori di smartphone e chip – set, ma anche a Google e agli operatori telefonici. L’enorme numero di falle e l’altrettanto enorme varietà di modelli rendono molto difficile portare le patch di sicurezza di Google su tutti i dispositivi. Mentre Apple ha bisogno di aggiornare un solo sistema operativo e una manciata di modelli, Samsung da sola dovrebbe occuparsi dell’aggiornamento di più di 1.000 modelli di smartphone. Lo sforzo necessario in termini di tempi e costi sarebbe notevole, per questo i produttori preferiscono guadagnare denaro fresco con nuovi modelli, piuttosto che investire in aggiornamenti gratuiti per quelli vecchi. Non c’è da meravigliarsi, quindi, se i milioni di clienti Samsung che non ricevono più aggiornamenti per il loro Galaxy S6 Edge sono in buona compagnia, anche se sapere che la stessa sorte tocca anche a modelli più recenti, però, non è certo di conforto. Fondamentalmente, più vecchio è il telefono Android, meno questo riceverà aggiornamenti. La tabella a destra rivela il problema in tutta la sua drammaticità: gli utenti devono attendere troppo prima di poter avere gli aggiornamenti di sicurezza e, oltretutto, il supporto spesso termina dopo solo uno o due anni.
Meltdown e Spectre
La rapidità con cui un problema di sicurezza può scuotere un’intera industria e diventare una grave minaccia p er gli smartphone privi di patch è stata dimostrata da Meltdown e Spectre. Con questo nome sono note delle falle di sicurezza che coinvolgono i processori Intel, ARM e AMD e tramite le quali è possibile, ad esempio, leggere le password contenute in memoria. Il problema interessa molti smartphone con processori ARM Cortex e gli antivirus classici non servono: solo un aggiornamento della sicurezza può ridurre il rischio di un attacco, ma anche dispositivi relativamente recenti ricevono le patch necessarie con mesi di ritardo.
Aggiornamenti a singhiozzo
Spesso gli utenti possono solo cercare di capire se gli aggiornamenti per il loro smartphone sono ancora in fase di sviluppo o se le patch sono già state distribuite da Google. La maggior parte dei produttori fornisce gli aggiornamenti di sicurezza solo in seguito; all’inizio i modelli di punta vengono aggiornati mensilmente, poi l’intervallo di tempo tra gli aggiornamenti aumenta. I modelli precedenti ottengono (quando li ottengono) aggiornamenti trimestrali o addirittura annuali. Dopo due o tre anni, gli aggiornamenti vengono stoppati del tutto e le falle di sicurezza si accumulano lasciando le porte aperte ad eventuali aggressori. Questo almeno in teoria, visto che per fortuna gli scenari d’attacco non sono così banali. Tuttavia, i produttori continuano ad essere reticenti nel dichiarare quali prodotti sono ancora supportati e quali no, per cui gli utenti non sono mai sicuri se una certa vulnerabilità critica verrà mai chiusa o meno. È interessante notare come nonostante quanto accaduto con l’S6, Samsung sia uno dei pochi produttori a pubblicare un elenco con i dispositivi che non saranno più aggiornati.
Aggiornatissimi?
Forse no… Un altro problema: anche se la patch di sicurezza è quella attuale, non è garantito che anche le vecchie falle siano state chiuse, com’è stato di recente svelato da un rap – porto del Berlin Security Research Lab (SRL). Con l’applicazione SnoopSnitch è possibile verificare,
perlomeno per l’anno 2017, quali patch potrebbe aver saltato il produttore dello smartphone utilizzato. Se utilizzate il telefono in modo intenso, sfruttando al massimo tutte le possibilità offerte, allora dovreste preferire uno smartphone con gli ultimi aggiornamenti di sicurezza. Probabilmente la scelta migliore è sfruttare un contratto che prevede di poter sostituire lo smartphone con uno nuovo ogni uno o due anni. Tuttavia, se fate attenzione con i diritti delle app, potete comunque utilizzare il vostro “vecchio” S6.
Quanto sono pericolose le falle?
Secondo l’esperto di crittografia Karsten Nohl della SRL, alcune patch Android dimenticate non sono motivo di preoccupazione per la maggior parte degli utenti, visto che gli hacker oggi preferiscono concentrarsi sui PC con Windows, dove, tra l’altro, le patch arrivano molto più velocemente. Nonostante questo, il pericolo è maggiore in Windows, visto che gli hack sono più semplici da effettuare. Secondo Nohl il rischio più grande per l’utente viene dalle app installate da fonti non sicure e concedendo loro diritti d’uso senza ponderarli bene. Tuttavia, è solo questione di tempo prima che Android diventi anch’esso un obiettivo attraente per l’hacking. Speriamo, però, che fino ad allora vengano installati tutti gli aggiornamenti disponibili.
