skip to main | skip to sidebar
21 commenti

Aggiornamenti di sicurezza per Android: troppo lenti anche con i Nexus di Google

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ci sono dodici falle di sicurezza da turare in Android: cinque consentono l’esecuzione di codice da remoto o l’accesso di root. Una di queste falle, la CVE-2015-6636, consente di iniettare malware nel dispositivo tramite un file, che può essere incluso in una pagina Web, una mail o un MMS, e va corretto con un aggiornamento già disponibile.

L’annuncio di queste falle e dell’aggiornamento disponibile è nel bollettino di sicurezza di gennaio su Android.com, che risale al 4 gennaio (dieci giorni fa). Ma sul mio telefonino Android Nexus 5X, che monta Android 6.0.1 e in teoria dovrebbe ricevere gli aggiornamenti direttamente da Google (è per questo che l’ho scelto), questo aggiornamento è arrivato soltanto stamattina.

È normale: stando alle info di supporto di Google, “possono volerci fino a due settimane” prima che un aggiornamento raggiunga uno specifico dispositivo. Una finestra di vulnerabilità decisamente ampia. E questo è il livello di servizio che ha chi riceve gli aggiornamenti diretti da Google; non oso immaginare quanto a lungo rimane scoperto chi deve dipendere dall’intermediazione del proprio operatore/venditore per gli aggiornamenti. Un aspetto da non trascurare quando si tratta di investire in uno smartphone.

Avrei potuto forzare l’aggiornamento usando una delle varie procedure pubblicate online, ma mi sembra assurdo dover spendere così tanto tempo e risorse mentali per un semplice aggiornamento di uno smartphone. Da questo punto di vista, il mio esperimento con il Nexus di Google è una delusione.

Per chi volesse controllare lo stato di aggiornamento del proprio Android, nella versione 6.0 e successive si va in Impostazioni - Info sul telefono - Aggiornamenti di sistema e in Verifica la presenza di aggiornamenti e in Impostazioni - Info sul telefono - Livello patch di sicurezza.




Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (21)
Decisamente un aspetto da migliorare. Innegabile. I produttori terzi, poi, fanno talmente tanti pastrocchi sulla versione originale del software che devono sviluppare loro una propria versione della patch.
Purtroppo i nexus costano sempre di più e l'alternativa (i Moto, che di differente hanno solo qualche applicazione aggiuntiva, ma il OS è stock) è comunque lenta nell'aggiornare. Ho un moto g terza generazione ed è ancora fermo a lollipop.
In effetti anch'io ho ricevuto questo aggionamento solo ieri (Nexus 5).

Mi chiedo se ci sia qualcuno che faccia meglio su altre piattaforme mobili o fisse. Forse solo nel mondo linux standard (non Andoid o simili) gli aggiornamenti sono praticamente immediati.
Per esempio Windows con il sistema dei pacchetti d'aggiornamento mensili non mi sembra messo meglio su fisso (non ho idea su mobile).
Secondo me bisogna comunque fare una media: il mio Nexus 5 per esempio riceve gli aggiornamenti mensili verso il 6-7 di ogni mese.
Si può dire quindi che mediamente i dispositivi Nexus si aggiornano dopo una settimana, chi il primo chi il 14 del mese.

Approfitto per salutarti e ringraziarti per tutto il lavoro che svolgi e che ci metti a disposizione.
La metodologia dei rilasci di google è a "ondate". Lenta ma più sicura di quella di Apple che li rilascia in blocco per tutti fin dal primo giorno. Salvo poi rilasciare l'aggiornamento .01 il giorno dopo. Slavo por rilasciare l'aggiornamento .02 una settimana dopo. salvo rilasciare poi l'aggiornamento .03 ecc ecc
A me è arrivato due giorni fa su Nexus 5 (non X). La situazione è migliore su iPhone o Windows o altri?
Invece Apple quanto ci mette per eseguire un aggiornamento di sicurezza? Non è un flame, ma solo una richesta di info per fare un confronto.
Questo è strano: ho installato un aggiornamento (meno di 3 MB) martedì 12, sul mio "vecchio" Nexus 5, eppure il livello patch di sicurezza è collocato ancora al primo gennaio.
In ogni caso mai preso un virus col Nexus, sarà la fortuna dello smanettone ;)
P.S. a proposito di Android, ho montato su pendrive anche una versione per pc, Remix OS.
La buona notizia è che bastano Unetbootin, il file .iso (si estrae da un file zip, il resto sono le istruzioni e un tool per windows) e una pendrive 3.0 (farà un test di scrittura, deve essere sopra i 10 MB al secondo).
Una bella sorpresa è che imposta 4 GB di persistenza da solo in fase di boot (F12 o esc): scegliendo il modo resident, ci vogliono 10-15 min. Poi da impostare c'è solo l'italiano come lingua e tastiera, e disabilitare quella cinese.
Una brutta sorpresa è che non trovo l'app "google play store". Per ora mi rivolgerò a F-droid, repo open source.
Link a info e download: http://www.jide.com/en/remixos-for-pc
Moto X 2015 ovviamnte lollipop.. patch di sicurezza 1 novembre 2015.
Chissà le rom alternative tipo cyanogen se si aggiornano più in fretta
Non è troppo, Paolo. Non devi confrontare questo tempo con la velocità di rilascio degli aggiornamenti desktop, ma con gli altri telefonini. iOS e Windows hanno tempistiche simili (se non erro). Inoltre, qualunque altro Android NON gestito da Google... semplicemente non vedrà MAI (!) gli aggiornamenti, e questo dimostra tristemente l'ENORME ca**ata (indegna di una azienda che ha prodotto cose grandiose) fatta da Google che non gestisce l'OS in tutto e per tutto ma ne lascia la responsabilità agli OEM. Non avrei mai pensato di dare ragione a Microsoft e alla sua politica di aggiornamenti forzati.
@Raffaele

Il metodo con cui fanno il roll out delle patch non ha niente a che vedere con quello che dici tu, se viene rilasciata una patch .01 il giorno dopo è perché hanno trovato un zero day exploit, quindi un bug nel codice, che non centra niente col fatto che quel codice buggato sia stato rilasciato a tutti insieme o ad ondate come fa google, con il metodo google al massimo puoi limitare il numero di device coinvolti da una vulnerabilità del genere, che è già una gran cosa comunque, dato l'alto numero di device a cui viene rilasciato il codice
Qual'è la tua opinione (e magari l'efficacia vs efficienza) sugli antivirus da smartphone?
...e sul mio samsung note 2 gira ancora la cyanogenmod 10.3... più antivirus avast (ma serve?) e fino ad ora nessun problema, credo.
sto comunque già provando un oukitel u7 pro e fino ad ora (a parte le camere oscene) va bene
Ho visto che qualcuno chiede un confronto con Windows Phone: a tal riguardo sinceramente non saprei dire: ho avuto un Lumia 925 per quasi 2 anni è ho avuto quasi subito un aggiornamento WP8.1, successivamente a 8.1 Update 1, le tempistiche sono state orchestrate dall'operatore e a me è arrivata qualche settimana dopo che era stata annunciata, per le patch in senso stretto non saprei, o me le ha installate a mia insaputa oppure non ce ne sono state. Da un mesetto l'assistenza me lo ha sostituito con un 830 e, a parte il primo aggiornamento appena arrivato, non ho fatto altro ... nelle impostazioni mi dice che è aggiornato. Una delle cose che più mi è piaciuta di questi smartphone fin da WP7 è che non c'era bisogno di continui e ripetuti aggiornamenti (come invece succedeva con i precedenti Android che avevo avuto).
Non so se questo è un bene, dal punto di vista della stabilità e della usabilità non sento il bisogno di aggiornamenti, spero che questo valga anche per la sicurezza.
C'è da aggiungere che gli aggiornamenti dell'OS (da parte di produttori terzi) devono passare parecchi test e certificazioni Google, quindi i tempi si allungano sempre.
Uno dei problemi, secondo me, è proprio la struttura di Android e tutta la trafila di certificazione se si passa da Google. Una normale distrubuzione linux, ad esempio Debian, ci mette poche ore per risolvere il problema e rendere disponibile A TUTTI la nuova patch pacchettizzata sui propri repository. Di questa cosa, in Debian, si occupa nello specifico un security team che fa solo quello.
Per come invece sono fatti gli aggiornamenti in Android, la cosa si complica di molto. Google, dal lato suo, ha cercato (e sta cercando) di tirare fuori dalla pancia del sistema operativo più cose possibili, vedasi le webview che sono diventate un app aggiornabile via playstore... ma ancora non basta.
Non pretendo di ricevere le ultime feauture in tempo zero ma pretendo di ricevere gli aggiornamenti di sicurezza per un dato periodo di tempo prefissato all'acquisto del dispositivo... Ma ovvio, finché ci son produttori che se ne sbattono del software e costruiscono mille dispositivi diversi al giorno, la vedo dura.
domanda ai tecnici:
ieri aggiorno il mio oukitel (dalla 5.1 a non lo so, circa 76 Mb).
dopo l'installazione google mi chiede l'email e la password)... e tutto si ferma. da alcuni post in google sembra che per questioni di sicurezza, dalla versione 5.1 di android bisogna attendere 72 ore per potere riaccedere al cellulare. se ciò fosse vero mi sembra una grande str@#$%&a.
Il mio NEXUS 6 si è aggiornato il giorno dopo.
Io invece ho un Sony e gli scarsi aggiornamenti arrivano in tempi biblici e soprattutto vanno applicati 2 volte, la seconda dopo wipe perché se no non funzionano al 100% (e il programma di backup non copia le app).

Risultato? Non lo aggiorno a meno di bugie che mi servono, tipo l'ultimo sul GPS
Riguardo al problema CVE-2015-6636 NVD dice (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6636):

mediaserver in Android 5.x before 5.1.1 LMY49F and 6.0 before 2016-01-01 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted media file, aka internal bugs 25070493 and 24686670.

Io ho un Fairphone (FP1) con Android 4.2.2: devo supporre di non essere interessato?
a me sul N5 (vecchio) è arrivata il 9 o il 10..
Ma ci può stare dai..
@max
ti hanno detto una str@#$%&a