patch-placebo,-l’amara-illusione-di-avere-smartphone-aggiornati-e-sicuri

Patch placebo, l’amara illusione di avere smartphone aggiornati e sicuri

di  – 24/11/2022 12:040

Patch placebo, l’amara illusione di avere smartphone aggiornati e sicuri

Un report di Google Project Zero mette in luce il problema più serio nel mondo delle patch per smartphone: anche se i telefoni vengono aggiornati, dentro gli aggiornamenti mancano molte patch.

Gli utenti chiedono da anni aggiornamenti frequenti, soprattutto per quanto riguarda la sicurezza. Molti produttori hanno iniziato ad ascoltare le richieste, e hanno portato anche a 4/5 anni il periodo durante i quale promettono di rilasciare le patch di sicurezza. C’è però un problema: dentro le patch che vengono rilasciate ci sarebbero solo parte degli aggiornamenti e mancherebbero quelli legati alle componenti hardware, spesso più critiche.

A dirlo è Google Project Zero, che nonostante sia un ramo di Google, dimostra di essere assolutamente indipendente nelle analisi e oggettivo, visto che in questo caso il problema riguarda anche i Pixel.

La questione è abbastanza seria, ed è anche facile capire il motivo. Google lo spiega citando il caso di una serie di falle presenti nei driver delle GPU Mali, molto diffuse all’interno dei SoC Android. Falle molto serie, attivamente sfruttate, che Google Project Zero ha segnalato nel mese di luglio e che ARM ha prontamente chiuso nel mese di agosto.

ARM ha rilasciato la versione aggiornata dei driver sul suo sito, e questo vuol dire che ha anche mostrato, a chi capisce dove guardare, quale fosse la vulnerabilità nel dettaglio.

Oggi, a novembre, i driver prodotti da ARM e le patch che chiudono quelle vulnerabilità specifiche non sono mai state integrate in nessuna patch mensile di nessuno smartphone Android. Al momento i produttori le hanno ignorate del tutto, e i telefoni sono vulnerabili.

Il motivo è semplice: gestire la sicurezza e gli aggiornamenti ha un costo, e spesso i produttori si limitano ad assorbire quelle che sono le patch generiche di Google, che includono gli aggiornamenti per la parte software e per alcuni moduli del processore, e non si preoccupano di assorbire anche tutte le patch che vengono rilasciate dai produttori dei componenti che sono presenti all’interno, in questo caso la GPU.

Il motivo è probabilmente da ricercare nella diversa complessità delle due cose: il pacchetto di patch che Google inserisce dentro Android e che vengono distribuiti ai vari partner sono già state totalmente verificate e integrate, quelle che vengono rilasciate dai vari produttori di hardware richiederebbero molto più lavoro sulla fase di test.

Google Project Zero inoltre spiega che spesso non viene neppure fatta una analisi dettagliata di quelle che sono le cause che hanno portato ad una falla, e neppure sull’integrazione della patch con il resto del sistema, ed è proprio per questo motivo che il 50% delle falle zero day scoperte nell’ultimo anno sono semplici varianti di falle che sono già state chiuse. I malintenzionati hanno guardato come erano state chiuse, è pubblico, e hanno scavato attorno alla “toppa” per trovare un altro punto dove entrare.

Come gli utenti devono essere rapidi ad applicare le patch ai dispositivi, al tempo stesso i produttori devono essere rapidi a integrare le patch disponibili.

Oggi c’è un grande effetto placebo: l’utente che riceve la patch è convinto di essere al sicuro e di essersi affidato ad un produttore che aggiorna regolarmente, tuttavia dentro la release di sicurezza potrebbe esserci solo parte delle patch che servirebbero davvero. Le altre, un po’ perché difficile un po’ perché laboriose, vengono del tutto ignorate o rimandate.

© riproduzione riservata

Resta aggiornato sugli ultimi articoli di DDay.it

Mobile

Commenti

 segui per ricevere le notifiche dei nuovi commenti

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.