Google avverte che i produttori di smartphone Android devono migliorare nella riparazione dei propri dispositivi.
In un post sul blog (si apre in una nuova scheda) pubblicato dal braccio di sicurezza informatica di Google Project Zero, i ricercatori spiegano come il più grande punto di forza di Android, il decentramento del suo ecosistema, sia anche il suo più grande punto debole.
Allo stato attuale, afferma che il processo di patching è troppo lento, macchinoso e troppo suddiviso, lasciando i consumatori esposti a vulnerabilità note che sono relativamente facili da sfruttare.
I problemi del decentramento
Android, sebbene creato da Google, è basato su Linux ed è essenzialmente una soluzione open source, quindi i produttori di smartphone di terze parti come Samsung, Oppo, LG e OnePlus possono assumere la proprietà della loro versione del sistema operativo.
Pertanto, quando Google rilascia una patch, questa deve essere prima analizzata e modificata dal produttore prima di essere inviata al dispositivo. Ciò significa che gli utenti Android rischiano di essere compromessi da malware per un lungo periodo di tempo.
Se questo periodo diventa troppo lungo e Google pubblica i dettagli della vulnerabilità, i criminali informatici hanno un'opportunità unica di compromettere gli endpoint senza dover cercare nuovi giorni zero.
Al contrario, Apple offre un ecosistema chiuso per i suoi dispositivi. L'azienda è incaricata di costruire la maggior parte del suo hardware e software. Quindi, con gli aggiornamenti saldamente sotto il controllo di Apple, ogni volta che l'azienda rilascia una correzione, la maggior parte dei dispositivi la riceve abbastanza rapidamente.
Questo è esattamente quello che è successo con CVE-2021-39793, una vulnerabilità del driver GPU ARM Mali utilizzata da molti dispositivi Android segnalata da TechRadar Pro nel novembre 2022.
Non appena Google ha concluso la sua indagine su quel giorno zero nel luglio 2022, ha riferito i risultati ad ARM, che li ha poi corretti nell'agosto 2022. Trenta giorni dopo, Google ha reso pubblici i suoi risultati.
Tuttavia, Google ha scoperto che tutti i dispositivi di prova che utilizzavano il Mali erano ancora vulnerabili ai problemi. "CVE-2022-36449 non è menzionato in nessun successivo bollettino sulla sicurezza", disse all'epoca, sollevando la questione di quello che lui chiama il "patch gap".
"Proprio come gli utenti sono incoraggiati a risolvere il problema il prima possibile una volta che è disponibile una versione contenente aggiornamenti di sicurezza, lo stesso vale per i fornitori e le aziende", si legge nel post sul blog.
"Ridurre al minimo il 'patch gap' come fornitore in questi scenari è probabilmente più importante, poiché gli utenti finali (o altri fornitori a valle) bloccano questa azione prima di poter sperimentare i vantaggi in termini di sicurezza della patch."
"Le imprese dovrebbero rimanere vigili, monitorare da vicino le fonti a monte e fare del loro meglio per fornire soluzioni complete agli utenti il prima possibile."