In un recente post sul blog ufficiale, Google esprime preoccupazione per il ritardo nell’applicazione delle patch di sicurezza da parte dei produttori Android, favorendo potenziali violazioni della sicurezza dei dati.
Google ha recentemente pubblicato un documento sul suo blog ufficiale, esponendo un bilancio dettagliato delle minacce informatiche emerse nell’ultimo anno. Secondo quanto analizzato dai ricercatori dell’azienda, il ritardo nel rilascio delle patch di sicurezza da parte dei produttori di dispositivi Android rappresenta una seria preoccupazione.
Il documento, diffuso giovedì 27 luglio, illustra come l’ultimo anno sia stato segnato da numerosi casi in cui, nonostante le patch di sicurezza fossero disponibili, i produttori non abbiano provveduto a implementare le dovute correzioni. Questa situazione, si legge nel rapporto, affligge diverse piattaforme, ma sembra essere “più diffusa e persistente su Android”.
Gli esperti di Google evidenziano che tale ritardo tra la distribuzione degli aggiornamenti di sicurezza e la loro effettiva applicazione sui dispositivi espone gli utenti a gravi rischi. Le cosiddette falle n-day, ovvero vulnerabilità pubblicamente note, possono infatti agire come pericolose violazioni zero-day, date l’assenza di una correzione prontamente disponibile.
Tra gli esempi citati nel documento, spicca il caso delle vulnerabilità riscontrate nella GPU Mali di Arm. Tali falle sono state corrette soltanto nove mesi dopo la loro identificazione. Ecco la cronologia degli eventi:
- Luglio 2022: la falla di sicurezza viene segnalata ad Android Security, un team di esperti del sistema operativo Google.
- Agosto 2022: il team determina che la correzione della falla rientra nelle competenze di Arm.
- Ottobre 2022: Arm risolve la falla di sicurezza.
- Novembre 2022: i ricercatori rilevano che la falla è stata attivamente sfruttata da hacker. Project Zero, il gruppo di esperti di Google, esorta i produttori a rendere la patch di sicurezza rapidamente disponibile agli utenti.
- Aprile 2023: la vulnerabilità viene infine inserita nel bollettino di sicurezza di Android, nove mesi dopo la sua identificazione.
Questo caso ha suscitato l’interesse dei media specializzati in seguito alla scoperta che una delle molteplici vulnerabilità della GPU ARM Mali, presente nella gran parte di smartphone e tablet, è rimasta senza patch per mesi sui dispositivi Samsung.
Nel campo dei browser, il rapporto Google riconosce i progressi nel ciclo di aggiornamento della sicurezza di Chrome, Safari e Firefox. Tuttavia, sottolinea come gli hacker stiano adottando nuove tecniche per infiltrarsi nei sistemi operativi e nell’hardware, come gli exploit zero-click che non richiedono alcuna interazione da parte dell’utente.
Per Google, l’industria deve agire con urgenza, fornendo correzioni e misure di mitigazione agli utenti in tempi più rapidi. Questo al fine di tutelare gli utenti dalle minacce informatiche, diventate ancora più frequenti con l’ampia adesione al lavoro ibrido e allo studio a distanza. Il rischio è che il gap tra la disponibilità e l’applicazione delle patch di sicurezza possa trasformarsi in una seria minaccia per la sicurezza digitale globale.