mercoledì 18 aprile 2018

Android: gli aggiornamenti dei vendor sono disastrosi


Lo abbiamo detto varie volte: Android detiene il record di infezioni malware su piattaforma mobile. E, come tutte le cose, ciò ha un perché: anzi, più di uno. Il sistema "aperto" è la possibilità di installare app da qualsiasi shop presente online (si pensi a tutti gli app store di terze parti, difficilmente controllabili dal punto di vista della sicurezza... e già sappiamo che, nonostante gli sforzi, anche Google Play non è proprio una fortezza...) già spiegano in parte la debolezza della sicurezza di Android. La maggior parte dei danni però è causata dal sistema di aggiornamento. 

Citiamo qui il report dei Security Research Labs, pubblicato ieri e rintracciabile, in forma completa (in inglese)  qui

Qualche dato...
Partiamo da un dato: Android conta circa 2 miliardi di dispositivi sui quali risulta installato (con tutta la responsabilità che ne consegue in termini di sicurezza e privacy). Le difficoltà di Android con le patch sono risapute: nel 2016 soltanto il 17% dei dispositivi eseguenti Android avevano installato le patch più recenti. Questo nonostante l'installazione delle patch mensili sia molto importante. Ma non è sufficiente: lo studio dei Security Research Labs rileva che il problema risiede principalmente nei vendor...

Le patch dei vendor...
Lo studio in oggetto rileva che la maggior parte dei fornitori di Android dimentica regolarmente di includere alcune patch, lasciando quindi il sistema vulnerabile a svariate minacce già mitigabili. La tabella sotto elenca, suddivisa per vendor, la media di aggiornamenti mancanti e la frequenza con cui queste mancanze sono state rilevate. 


Per Few si intende 5-9, per Many si intende 10-49, per Lots si intende oltre 50

Alcune note:
  • sono stati considerati solo modelli di smartphone che sono stati patchati da Ottobre 2017 in poi;
  • il test non comprende tutte le patch, quindi i numeri reali potrebbero essere ben più ampi;
  • alcuni smartphone sono stati inclusi più volte nel conteggio a causa della presenza di più versioni firmware differenti. 

Va comunque tenuto di conto che non tutte le patch sono "complete" (cioè alcune non risolvono per intero la vulnerabilità che si propongono di mitigare), il che significa che il numero di patch mancanti potrebbe essere anche più alto. 

Sfruttare falle di Android è ancora difficile...
In ogni caso resta piuttosto difficile eseguire exploit delle vulnerabilità di Android, perché è possibile "aggirare" i problemi riguardanti le patch aggiungendo sistemi di sicurezza aggiuntivi: si pensi al sandbox oppure agli antivirus multi livello ecc... Questo spiega, in parte, perchè i cyber criminali preferiscano spesso tecniche di ingegneria sociale per far installare app dannose, spesso provenienti da fonti non sicure, che richiedono autorizzazioni eccessive e che divengono quindi, nei fatti, il mezzo col quale degli attaccanti prendono il controllo del dispositivo. Questa è la tendenza osservata maggiormente quest'anno. 

Presta attenzione al livello delle patch
Più Android è popolare più fa gola ai cyber criminali. A breve per capirsi, senza un serio e regolare meccanismo di patching l'aggiunta di strumenti di sicurezza software non servirà a molto: la stessa efficacia di strumenti di sicurezza software dipende dalla sicurezza e solidità di Android, quindi, primariamente, dal numero di vulnerabilità conosciute e 0-day che lo affligge. 

Nessun commento:

Posta un commento