Se utilizzi un telefono Google Pixel, il tuo telefono è al sicuro da una falla di sicurezza che potrebbe consentire a un file PNG di distruggere completamente il sistema. Se utilizzi quasi tutti gli altri telefoni Android, il tuo telefono è vulnerabile. Questo è un problema.
Google di recente ha rilasciato l’aggiornamento di sicurezza di febbraio per i dispositivi Pixel, che chiude un buco che consentirebbe ai file PNG dannosi di “eseguire codice arbitrario nel contesto di un processo privilegiato”. In termini più semplici, il codice può essere eseguito ad alto livello e rubare le tue informazioni: tutto ciò che devi fare è aprire il file. Questo è tutto.
Ciò significa che qualsiasi PNG che arriva da te, sia esso in un’e-mail, un client di messaggistica o anche tramite MMS, potrebbe potenzialmente dirottare il sistema e rubare dati preziosi. Cioè, su qualsiasi telefono che non sia un Pixel, perché ora sono protetti. Samsung, LG, OnePlus e la maggior parte dei telefoni di altri produttori sono ancora soggetti a questo bug. Dobbiamo iniziare a mantenere i produttori su uno standard più elevato quando si tratta di aggiornamenti di sicurezza. Periodo.
Al momento ho quattro telefoni Android a portata di mano: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 e OnePlus 6T. I due Pixel sono patchati e protetti con l’aggiornamento di febbraio, ma S9 e 6T sono solo sulle patch di sicurezza di dicembre. Ciò significa che tutte le vulnerabilità più recenti, come questa per PNG, ad esempio, sono prive di patch su entrambi questi telefoni. Considerando che i dispositivi Samsung Galaxy sono tra i telefoni più popolari del pianeta, questo è preoccupante.
Ma non è solo un problema a causa del problema attuale. Questo è un problema dinamico che è una preoccupazione costante, o almeno dovrebbe esserlo. Finché ci sono nuove vulnerabilità, gli aggiornamenti di sicurezza ritardati saranno sempre un problema. Quindi, per dirla in termini più semplici: questo sarà sempre un problema perché le vulnerabilità sono garantite.
Sebbene la “frammentazione” di Android sia stata a lungo un problema (da quando la piattaforma è stata introdotta, essenzialmente) quando si tratta di aggiornamenti completi del sistema operativo, questo non dovrebbe applicarsi agli aggiornamenti di sicurezza. Questi non sono aggiornamenti “le nuove funzionalità sono interessanti e li voglio”, sono aggiornamenti cruciali per la protezione dei dati. Indipendentemente dal fatto che siano piccoli o meno, questo non è qualcosa che dovrebbe essere trascurato da nessun consumatore. Mai.
Attualmente, i produttori stanno facendo un pessimo lavoro nel proteggere i propri utenti, punto. Anche se non ricevere aggiornamenti completi del sistema operativo (o anche rilasci minori) è al massimo fastidioso, non ricevere aggiornamenti di sicurezza è inaccettabile. Invia un messaggio che non può essere ignorato: dice che il produttore del tuo telefono non si preoccupa dei tuoi dati. Le tue informazioni non sono abbastanza importanti da essere protette.
Gli aggiornamenti di sicurezza non sono enormi come gli aggiornamenti completi del sistema operativo o anche i rilasci minori. Vengono rilasciati mensilmente da Google, quindi sono molto più piccoli e più facili da integrare nel sistema, anche per i produttori di terze parti. Ancora una volta, non ci sono vere scuse per non renderlo una priorità.
L’anno scorso Google lo ha reso necessario i produttori offrono almeno due anni di aggiornamenti di sicurezza per portatili. (I telefoni Pixel hanno una garanzia di tre anni.) Il problema con questo? Richiede solo “almeno quattro” aggiornamenti entro un anno. È trimestrale, non mensile, ed è esattamente ciò che fa la maggior parte dei produttori. Il minimo indispensabile. E non è abbastanza buono.
Perché? Perché nuove vulnerabilità sono sempre esposte. Non voglio che i miei dati vengano potenzialmente compromessi mentre aspetto che il produttore del mio telefono riesca a preparare tre mesi di correzioni per la sicurezza in un unico aggiornamento: li voglio non appena Google li rilascia, e dovresti farlo anche tu.
Questa vulnerabilità PNG è solo un esempio. Mese dopo mese questi tipi di problemi vengono scoperti e con la maggior parte dei produttori che rilascia aggiornamenti di sicurezza mesi dopo, i dati rimangono esposti per molto più tempo di quanto sia accettabile.
Anche se vorrei che ci fosse una risposta semplice su come risolvere questo problema, sfortunatamente non c’è. Fino a quando i produttori non iniziano a prendere più sul serio le tue informazioni, c’è solo una vera risposta: acquista un telefono diverso. Apple e Google hanno regolarmente dimostrato di avere a cuore i dati degli utenti, quindi i telefoni iPhone e Pixel sono entrambi scelte eccellenti per gli utenti che vogliono fare tutto il possibile per proteggere i propri dati.
Per quanto cliché possa sembrare (e onestamente sono stufo di sentirlo): è ora di votare con il tuo portafoglio. Non acquistare telefoni da produttori che non si preoccupano dei tuoi dati. È l’unico modo per sapere che è una cosa seria.