Blulogo-patch-sicurezza-android-google

“Quando hai miliardi di utenti diventi un obiettivo facile, e quindi hai bisogno dei sistemi di difesa più forti possibili”, queste le parole del responsabile della sicurezza della piattaforma Android David Kleidermacher – pronunciate durante una conferenza alla I/O. Google ha infatti recentemente lavorato alla creazione di patch di sicurezza all’interno degli accordi OEM stipulati con i brand che utilizzano il sistema operativo firmato BigG.

OEM e patch di sicurezza: di cosa parliamo?

Non ne hai idea? Facciamo chiarezza con un paio di definizioni utili.

Con OEM si intende Original Equipment Manufacturer e si fa riferimento alle aziende produttrici di apparecchiature originali, che vengono poi installate su prodotti finiti. Parliamo quindi di tutti quei fornitori che sviluppano le componenti che vanno a costituire -ad esempio- i nostri smartphone.

Con patch di sicurezza ci si riferisce a tutti quegli aggiornamenti volti a ridurre la vulnerabilità di un dispositivo. Nello specifico, Google distribuisce periodicamente nuove patch di sicurezza per il sistema operativo Android, che consentono di renderlo più sicuro e di proteggere i dati degli utenti da potenziali attacchi e intrusioni. In parole povere, ogni volta che viene individuata una falla nel sistema, che consente di violarne l’accesso, Google rilascia un aggiornamento correttivo che viene:

– Inviato ai dispositivi di proprietà Google (come Nexus e Pixel)

– Distribuito ai partner (come Samsung, Huawei, LG, Sony, etc.)

A partire dalla versione di Android 6.0 Marshmallow, Google ha sapientemente separato la parte legata alla sicurezza dal resto del sistema operativo. Questo consente di aggiornare solo gli elementi di Android legati alla sicurezza, senza dover installare un update completo.

Il ciclo di vita di una patch di sicurezza

Per garantire la tutela dei dati dei suoi utenti e clienti, quando Google sviluppa una patch di sicurezza, segue un iter ben preciso:

– Una volta individuata una vulnerabilità, Google sviluppa l’aggiornamento (patch)

– Google emette un bollettino di sicurezza in cui spiega modifiche e correzioni previste dalle ultime patch, così che i partner possano eseguire tutti i test del caso sui loro prodotti

– Una volta effettuati i test, l’update viene inviato a tutti gli utenti direttamente (per i prodotti Google) o in seguito alle personalizzazioni del caso (per i vari partner)

Il rilascio di patch di sicurezza da parte di Google è mensile. Se avete uno smartphone con sistema operativo Android e ricevete questo tipo di aggiornamento raramente, allora è responsabilità del produttore (Samsung, Huawei, LG, Sony, etc.). Nello specifico, soprattutto per dispositivi di fascia medio-bassa, capita che la distribuzione delle patch di Android sia molto lenta o che addirittura non sia prevista dal produttore. E di questo si sono accorti anche in casa Google.

Google interviene per garantire la sicurezza di Android

Ecco perché Kleidermacher ha confermato che BigG si sta muovendo per risolvere questa situazione: con il rafforzamento del programma di certificazione riservato ai partner Android, i produttori di dispositivi che utilizzano questo sistema operativo saranno obbligati a distribuirne gli aggiornamenti con regolarità.

Si tratta di una vera e propria modifica dei termini dell’accordo che lega BigG e gli OEM, che prevedrà (molto probabilmente) il rilascio mensile delle patch di sicurezza, almeno per i modelli più recenti. Al momento non sono stati forniti ulteriori dettagli su questa novità: non sappiamo se coinvolgerà tutti i partner commerciali di Google o solo alcuni, né su quali dispositivi sarà effettiva.

Sicuramente, questo intervento accade nel contesto di una serie di cambiamenti positivi apportati da Project Treble: un progetto nato con lo scopo di garantire aggiornamenti più rapidi.

Project Treble per Android Oreo

Tra le novità dell’aggiornamento Android Oreo, rilasciato il 21 agosto 2017 (dopo la versione KitKat, per restare in tema “update che fanno gola”) troviamo Project Treble, ossia un tentativo di semplificare gli aggiornamenti del sistema operativo.

Come? Rendendo il codice operativo modulare e scorporando i driver proprietari dal resto di Android. In questo modo, i produttori hardware potranno lavorare direttamente sul codice di loro interesse, senza dover agire sull’intero codice di Android.

 

Hai paura che i dati sul tuo smartphone possano essere violati da terzi? Leggi qui »

 

[Fonti: Tuttoandroid.net, Androidworld.it, Hwupgrade.it]