Se possiedi un telefono Google Pixel, puoi stare tranquillo: il tuo dispositivo è al sicuro da una falla di sicurezza che potrebbe permettere a un file PNG di compromettere gravemente il sistema. Tuttavia, se utilizzi la maggior parte degli altri smartphone Android, il tuo telefono è vulnerabile. E questo rappresenta un problema significativo.
Google ha recentemente rilasciato l’aggiornamento di sicurezza di febbraio per i dispositivi Pixel, che corregge una vulnerabilità che consentirebbe a file PNG dannosi di “eseguire codice arbitrario all’interno di un processo privilegiato”. In altre parole, del codice malevolo potrebbe operare a livelli elevati del sistema e sottrarre le tue informazioni personali, semplicemente aprendo un file. E questo è tutto ciò che serve.
Ciò significa che qualsiasi immagine PNG ricevuta, sia tramite email, app di messaggistica o anche MMS, potrebbe potenzialmente prendere il controllo del sistema e rubare dati sensibili. Questo vale per tutti i telefoni, ad eccezione dei Pixel, che sono ora protetti. Produttori come Samsung, LG, OnePlus e molti altri sono ancora vulnerabili a questa falla. È necessario che i produttori di smartphone si attengano a standard più elevati quando si tratta di aggiornamenti di sicurezza. Non ci sono scuse.
Attualmente ho a disposizione quattro telefoni Android: un Pixel 2 XL, un Pixel 1, un Samsung Galaxy S9 e un OnePlus 6T. I due Pixel hanno ricevuto la patch di sicurezza di febbraio, mentre l’S9 e il 6T sono fermi agli aggiornamenti di dicembre. Questo significa che tutte le vulnerabilità più recenti, come quella relativa ai PNG, non sono state ancora corrette su questi due dispositivi. Considerando che i dispositivi Samsung Galaxy sono tra i più diffusi al mondo, la situazione è preoccupante.
Il problema non è limitato alla vulnerabilità attuale. Si tratta di un problema dinamico e costante, che dovrebbe essere una priorità. Finché emergeranno nuove vulnerabilità, i ritardi negli aggiornamenti di sicurezza continueranno a rappresentare un serio problema. In sintesi, questa criticità non scomparirà perché le vulnerabilità sono inevitabili.
Nonostante la “frammentazione” di Android sia da tempo un problema noto (praticamente dalla nascita della piattaforma) per quanto riguarda gli aggiornamenti completi del sistema operativo, questo non dovrebbe essere un ostacolo per gli aggiornamenti di sicurezza. Questi non sono update “le nuove funzioni sono interessanti e le voglio subito”; si tratta di aggiornamenti cruciali per la protezione dei dati. Che siano grandi o piccoli, questo non è qualcosa che nessun consumatore dovrebbe ignorare. Mai.
Attualmente i produttori non stanno facendo un buon lavoro nel proteggere i propri utenti, punto. Se la mancata ricezione di aggiornamenti completi del sistema operativo (o anche di release minori) è fastidiosa, non ricevere gli aggiornamenti di sicurezza è inaccettabile. Questo lancia un messaggio inequivocabile: il produttore del tuo telefono non si preoccupa della tua sicurezza informatica. Le tue informazioni non sono abbastanza importanti da essere protette.
Gli aggiornamenti di sicurezza non sono complessi come quelli del sistema operativo o anche come le release minori. Google li rilascia mensilmente, quindi sono più piccoli e facili da integrare nel sistema, anche per i produttori terzi. Non c’è una vera giustificazione per non considerarli una priorità.
L’anno scorso, Google ha imposto l’obbligo per i produttori di fornire almeno due anni di aggiornamenti di sicurezza per i propri dispositivi. (I telefoni Pixel hanno una garanzia di tre anni.) Qual è il problema? L’obbligo è di “almeno quattro” aggiornamenti all’anno. Questo significa cadenza trimestrale, non mensile, ed è esattamente quello che fa la maggior parte dei produttori: il minimo indispensabile. E non è sufficiente.
Perché? Perché emergono sempre nuove vulnerabilità. Non voglio che i miei dati siano potenzialmente compromessi mentre aspetto che il produttore del mio telefono si decida a raggruppare tre mesi di patch di sicurezza in un unico aggiornamento. Voglio riceverli non appena Google li rilascia e lo stesso dovresti desiderare anche tu.
La vulnerabilità dei PNG è solo un esempio. Ogni mese vengono scoperte questo tipo di criticità e, dato che molti produttori rilasciano gli aggiornamenti di sicurezza con mesi di ritardo, i dati rimangono esposti per un tempo inaccettabile.
Anche se vorrei avere una soluzione semplice per risolvere questo problema, purtroppo non esiste. Fino a quando i produttori non prenderanno più seriamente la sicurezza dei dati degli utenti, l’unica vera risposta è: comprare un altro telefono. Apple e Google hanno dimostrato di tenere a cuore la protezione degli utenti, quindi i telefoni iPhone e Pixel sono entrambe ottime scelte per chi vuole tutelare al massimo le proprie informazioni.
Per quanto possa sembrare un cliché (e onestamente sono stanco di sentirlo): è giunto il momento di “votare con il portafoglio”. Non comprare telefoni da produttori che non si preoccupano dei tuoi dati. È l’unico modo per far capire che è una cosa seria.