Android sicurezza

Il dominio di Android: i problemi con la sicurezza

Il dominio di Android: i problemi con la sicurezza

Libertà o sicurezza? Questo è il dilemma

Quache giorno fa, il responsabile del progetto Android Sundar Pichai, ha rilasciato un’intervista al sito francese Frandroid, facendo questa dichiarazione: “We do not guarantee that Android is designed to be safe; its format was designed to give more freedom. When they talk about 90% of malicious programs for Android, they must of course take into account the fact that it is the most used operating system in the world. If I had a company dedicated to malware, I would also send my attacks to Android.”, in italiano: Non garantiamo che Android sia progettato per essere sicuro; il suo format è stato progettato per dare maggiore libertà. Quando si parla del fatto che il 90% dei malware siano diretti ad Android, occorre tenere in considerazione che è il sistema operativo più utilizzato al mondo. Se avessi un’azienda dedita a creare malware, avrei anche io come target Android”.

Ammetto che queste dichiarazioni mi hanno abbastanza irritato ma in qualche modo trovano nei fatti un riscontro abbastanza palese. Vediamo perchè:

1 –  Android è stato progettato per essere libero, non sicuro. Con questa affermazione Sundar fa il gioco di coloro che da anni considerano il software open source un colabrodo per la sicurezza. Esempi che smentiscono tali sciocchezze ce ne sono centinaia (Apache, GPG, OpenBSD, alcune distribuzioni Linux, il kernel di MacOSX, ecc..) ma principalmente il principio cardine dovrebbe essere questo: il software open source lascia all’utente e all’amministratore di sistema la possibilità di adoperarsi attivamente per proteggere la propria sicurezza mentre chi sceglie soluzioni closed source sceglie di affidarsi esclusivamente alle capacità degli sviluppatori della casa creatrice del software. Ma in questo caso il principio appena enunciato non basta ad Android proprio per precisa volontà di Google.

Android è open source (nei limiti descritti e analizzati QUI) ma soffre di un problema che ne peggiora notevolmente la sicurezza: LA FRAMMENTAZIONE (per chi non lo sapesse per frammentazione si intende la eccessiva eterogeneità di versioni di Android presenti sui terminali attualmente in commercio).

Frammentazione Android

Stando agli ultimi dati di Google  circa il 37% dei device attivi montano versioni di Android risalenti a circa due anni fa (grazie anche a Samsung, LG e compagnia bella): Ice Cream Sandwich (2011/2012), Gingerbread (2010/2011), Froyo (2010/2011), mentre solo l’1,8% dei device risultano già aggiornati a KitKat – rilasciato a novembre 2013 e che proprio in questi giorni sta vedendo la sua diffusione su molti device, questo dato dovrebbe quindi crescere sensibilmente a breve.

Il problema però non è solo per una questione di numeri. Vediamo il prossimo grafico (presente nel report annuale sulla sicurezza distribuito da Cisco)

Sicurezza Cisco

Android è vittima del 71% dei malware per dispositivi mobile e gran parte di questi attacchi sono proprio permessi dall’eccessiva frammentazione. Il 98% di tale minacce infatti sono relative a falle non più presenti nell’ultima versione di Android.

Sappiamo però che i device con versioni obsolete di Android non verranno mai aggiornati per precise politiche commerciali delle case produttrici di devices e quindi resteranno per sempre vulnerabili ad attacchi di sicurezza.

La domanda quindi sorge spontanea ed è: Google perchè non obblighi te stessa, Samsung, LG, HTC, ecc… a rilasciare almeno gli aggiornamenti per la sicurezza su tutte le versioni di Android messe in commercio (come invece fanno Apple e MS per i propri SO)? Basterebbero delle semplici patch per limitare notevolmente tali problemi.

Il problema non si risolverà nemmeno quando tutti i device saranno aggiornati a KitKat perchè nel frattempo usciranno nuove versioni e l’interruzione totale del supporto delle versioni meno recenti (Jelly Bean su tutti) causerà il medesimo problema di sicurezza.

La mancata volontà di Google e i suoi amici conferma quanto detto da Pichai: Android non è progettato per essere sicuro perchè Google non vuole risolvere a monte i problemi di frammentazione (ben vengano le policy di certificazione dei nuovi device o i controlli sulla installazione delle app ma questo a mio avviso non basta per sconfiggere i problemi legati alla sicurezza).

2 – Android è come Windows: talmente diffuso che lo attaccherei anche io. Qui Sundar Pichai gioca facile facendo anche del revisionismo storico. Windows ha creato un intero mercato sulla sua mancanza di sicurezza, mercato florido e legittimato dai fatti fino a quando proprio Linux (soprattutto lato server) e poi MacOSX (basato su Unix anch’esso) han spezzato l’incantesimo dell’ineluttabilità degli attacchi malware. Ma in questo caso è stato proprio il mondo open source (almeno nella parte Linux e Darwin) a smentire quello closed di Redmond, confermando dunque quanto ho affermato al punto 1.

Anche questo punto ci porta a dare ragione a Pichai: Android non è progettato per essere sicuro.

Sinceramente non ci sto: la causa di tutto questo non può essere la libertà e l’apertura del software, bensì la precisa mancanza di volontà di chi lo sta progettando. Quindi caro Sundar Pichai se Android non è sicuro è solo per volontà di Google e dell’Open Handset Alliance.

 Condividi su G+



Mi chiamo Francesco ma sul web sono presente da sempre con lo stupido nickname "carburano" (acronimo di Carmine Burano). Nella vita virtuale sono un geek appassionato di modding Android (in passato ho realizzato ROM, Kernel e altre cosine del genere), nella vita reale invece mi occupo di tecnologie per l'e-Learning, di SEO e sono una persona che crede ancora nell'ideologia e nel rock'n'roll! Se avete voglia di fare due chiacchiere con me per sfogare le vostre frustrazioni tecnologiche o politiche... beh... questo blog è il vostro posto!


Commenta utilizzando Google+


'Il dominio di Android: i problemi con la sicurezza' have 5 comments

  1. 2 Marzo 2014 @ 13:23 Il dominio di Android: i problemi con la sicurezza

    […] Questo articolo è stato pubblicato la prima volta su Officina Wazo, il mio blog  ma voglio condivi… […]

    Reply

  2. 2 Marzo 2014 @ 16:10 Anto

    tutto molto giusto ma bisogna però farsi una domanda: è possibile mettere una pezza facendo uscire una patch (che gioco di parole) per le versioni più vecchie di android?
    Facciamo un esempio: xp è vecchio. Di patch ne sono uscite tante. Compresa la patch della patch. Ad un certo punto converrai che non si può difendere xp a suon di pezze messe qua e là. è un sistema vecchio, vechissimo. Ad un certo punto bisogna per forza aggiornare. Non è solo per le prestazioni che si aggiorna,..
    Con android è lo stesso. tra gb è kk c’è un abisso. non è che si può difendere la prima linea ad oltranza,.. per questo android ha gli aggiornamenti frequenti.
    Quindi lo scapocchione della google non dovrebbe dire che android non è sicuro. Dovrebbe dire che ci sono difficoltà a costringere gli OEM ad aggiornare. Ma questa è una precisa scelta commerciale,..
    Diciamo che, come al solito, l’apertura di android risolve un po’ il problema grazie ai cuochi. Per il resto queste grandi aziende puntano solo ai soldi. Soldi, soldi e ancora soldi! Google ed il suo android risultano soltanto una delle meno care e una delle più aperte. (E se vogliamo sicure perché su gb posso anche stare senza antivirus mentre su xp mi mangiano vivo)
    Insomma si sceglie il meno, menissimo peggio.

    Reply

    • 2 Marzo 2014 @ 16:15 Carburano

      Beh una patch non è un difendere una linea… una patch è un dovere per gli utenti che usano una determinata versione di un SO e che per forza di cose non possono aggiornare. Una patch per una vecchia versione di Android non vorrebbe mica dire portare nuove features ma semplicemente mettere in sicurezza il tutto in base ai nuovi attacchi e adeguando, sempre a livello di sicurezza, il sistema operativo all’ultima versione. Questa non dovrebbe essere una concessione ma un dovere da parte di Google. Proprio come ha fatto Apple rilasciando un aggiornamento di sicurezza per i vecchi iphone non più supportati i Microsoft con Windows XP. Insomma basterebbe Google, senza bisogno di disturbare gli OEM

      Reply

      • 2 Marzo 2014 @ 23:00 Anto

        hai ragione ma per me non lo fanno perché sono in malafede ma perché o non è possibile come su win xp o perché poi finirebbero per rallentare troppo il sistema come ios. per me l’unica pach giusta è aggiornare all’ultima versione e basta. sarebbe la cosa più semplice e veloce. si supererebbe anche il problema della frammentazione.

        Reply

  3. 4 Marzo 2014 @ 21:28 Il dominio di Android: i problemi con la sicurezza

    […] Source […]

    Reply


Would you like to share your thoughts?

Your email address will not be published.

artic    Officina Wazo - Idee geek e pensiero consapevole è un blog ideato e gestito da Francesco Montanari - 2015