Alcuni ricercatori britannici hanno dimostrato che i dispositivi Android sono pericolosi per noi e per i nostri dati. E non è uno scherzo: i ricercatori dell’Università di Cambridge hanno analizzato oltre 20 mila smartphone appartenenti a varie case produttrici. Hanno scoperto che l’87,7% dei dispositivi Android era soggetto almeno a una vulnerabilità importante.
Questo dato preoccupante è il risultato di uno studio che aveva come scopo quello di scoprire quali dispositivi (e di quali marche) fossero i più sicuri.
L’esperimento è stato condotto con l’aiuto di utenti comuni con i loro smartphone: i partecipanti al progetto hanno acconsentito l’installazione da Google Play di un’app speciale chiamata Device Analyzer. Quest’applicazione consente di verificare la resistenza dei dispositivi agli attacchi più comuni, inviando dati circa la versione del software installata sul dispositivo.
Non sono state prese in considerazione tutte le vulnerabilità ma solo quelle che potevano essere sfruttate via wireless. Di queste 32 erano vulnerabilità critiche; tuttavia, nella ricerca, solo 11 bug si applicavano a tutti i dispositivi partecipanti ed erano in grado di dare risultati attendibili.
Allora perché i vari vendor offrono livelli di sicurezza diversi? Innanzitutto dipende se la versione del sistema operativo utilizzata sia stata aggiornata. Google, Linux Foundation e altri importanti sviluppatori Android pubblicano regolari aggiornamenti che comprendono patch di sicurezza per le vulnerabilità note.
Il problema è che la maggior parte dei dispositivi Android si mettono in fila per questi aggiornamenti e il processo non è così snello e rapido come dovrebbe. Non è Google a inviare gli aggiornamenti OTA (Over-The-Air), è il vendor OEM a svolgere questo compito e gli aggiornamenti sono inviati secondo la velocità decretata dal vendor, ovvero di lumaca.
1 Billion #Android devices vulnerable to #NEW Stagefright flaws… #nopatches https://t.co/1Wt8iqOY2b via @threatpost pic.twitter.com/LJUuODPDra
— Kaspersky (@kaspersky) October 1, 2015
Normalmente le case produttrici offrono agli utenti un’assistenza di due anni e molti dispositivi già non ricevono aggiornamenti arrivati alla fine di questo periodo (a volte anche a metà di questo tempo). Ciò significa che sono tantissimi gli smartphone Android ormai superati e sui quali non saranno mai installate le app; la quantità varia a seconda del vendor.
Per determinare il livello di sicurezza dei differenti vendor Android, il gruppo di ricerca di Cambridge ha ideato l’indice FUM. Ecco per cosa sta l’abbreviazione:
• F (free) – il numero di dispositivi libero da vulnerabilità critiche durante i test;
• U (update) – il numero di dispositivi di un vendor che utilizza l’ultima versione di Android;
• M (mean) – la media delle vulnerabilità non risolte sui telefoni di un vendor.
Il totale normalizzato di questi valori compone l’indice FUM, con valori dall’1 al 10, che serve per valutare la sicurezza offerta da ogni vendor.
95% of #Android phones can be hacked with one just #MMS, millions at risk https://t.co/BJg5e7ss8N #infosec pic.twitter.com/DGBSkhQdDo
— Kaspersky (@kaspersky) August 4, 2015
Nell’arco di quattro anni, da luglio 2011 al 2015, i dispositivi Android hanno ottenuto come l’indice FUM un punteggio estremamente basso, ovvero 2,87 su 10. Come era facile da prevedere, gli smartphone più sicuri sono i Google Nexus; non c’è da meravigliarsi in quanto è Google stesso a preoccuparsi delle patch su questi dispositivi.
I dispositivi Nexus hanno ottenuto un 5,7 nell’indice FUM, siamo ancora lontani dal 10. Purtroppo, in questo caso, gli aggiornamenti non arrivano direttamente sui Nexus; per l’invio degli aggiornamenti OTA si può arrivare ad attendere fino a due settimane, periodo nel quale questi dispositivi non sono al sicuro.
Diamo onore al merito: per quanto riguarda gli altri vendor, i migliori sono LG (FUM 3,97), Motorola (3,07), Samsung (2,75), Sony (2,63), HTC (2,63) e ASUS (2,35).
I dispositivi meno sicuri appartengono a marche meno conosciute come Symphony (0,3) o Walton (0,27). Possiamo dedurre che solo le marche cinesi più sconosciute possano arrivare a questi livelli d’indice FUM.
Of Non-Nexus Devices and the #Android #Security Rewards Program: http://t.co/owKwqqFmDJ via @threatpost
— Kaspersky (@kaspersky) June 18, 2015
Ciò che disorienta un po’ è l’esclusione deliberata da questa ricerca di marche come Huawei, Lenovo e Xiaomi nonostante questi brand, in base all’analisi IDC, occupino rispettivamente il secondo, terzo e quarto posto nei risultati di vendita a livello mondiale.
Con queste particolarità in mente, non possiamo affermare che si tratti di una ricerca assolutamente accurata e aggiornata; tuttavia, la sua importanza rimane immutata. I ricercatori sono riusciti a presentare un quadro della situazione olistico e preoccupante dell’ecosistema sicurezza e hanno attirato l’attenzione su alcune note dolenti nel campo dell’Information Security.
Dobbiamo ammettere che il sistema Android è alquanto vulnerabile. E rimarrà tale a meno che Google rimetta in discussione il sistema operativo e il suo modello di distribuzione, creando un meccanismo affidabile per gli aggiornamenti e facendo in modo che non siano gli utenti a doversi preoccupare dei propri dispositivi.
Protect your #Android: 10 tips for maximum security https://t.co/PDu801dfyg pic.twitter.com/auqQf6NfVL
— Eugene Kaspersky (@e_kaspersky) November 8, 2014
Cosa possono fare gli utenti per assicurarsi che i dispositivi siano protetti? Qualche semplice consiglio:
1. Installare gli aggiornamenti non appena disponibili. Non vanno ignorati;
2. Scaricare app solo da fonti affidabili e stare alla larga da siti sospetti. Ciò non assicura al 100% d’incorrere in problemi ma per lo meno si eviteranno alcune minacce;
3. Utilizzare una soluzione di sicurezza: se i vendor di smartphone impiegano tempo nel pubblicare le patch e salvare gli utenti da exploit, le aziende antivirus possono fare un buon lavoro;
4. Rimanere sempre aggiornati sulle ultime notizie nel campo della sicurezza informatica. Altrimenti non è possibile, ad esempio, che è meglio disattivare il download automatico degli MMS e scampare così alla vulnerabilità Stagefright.