Karsten Nohl e Jakob Lell sono due ricercatori dei Security Research Labs che hanno lanciato un grave allarme nel mondo Android. Molti dei produttori più conosciuti mentono sulla presenza a bordo dello smartphone delle più recenti patch di sicurezza rilasciate periodicamente da Google, mettendo a serio rischio il terminale.

Patch di cosa?

Da qualche anno a questa parte, all’interno del menu di informazioni del dispositivo (dove c’è anche la versione del sistema operativo) trovate una voce specifica che recita Livello patch sicurezza Android (o qualcosa del genere, dipende dal produttore).

L’informazione si riferisce alla presenza dei cosiddetti bug fix rilasciati direttamente da Google, le correzioni che chiudono vulnerabilità individuate in precedenza. Si tratta di aggiornamenti fondamentali per la protezione del cellulare, soprattutto nel caso di attacchi hacker tramite virus e applicazioni fasulle. Il file che corregge gli errori è spesso molto piccolo e scaricato in automatico dal sistema.

L’inghippo e l’inganno

Quello che Karsten Nohl e Jakob Lell affermano, dopo aver analizzato vari smartphone, è che può capitare che i costruttori facciano i furbetti, cambiando la data visualizzata alla fatidica voce delle patch ma senza aggiornare realmente il dispositivo, ponendo dunque a repentaglio la sicurezza di dati e informazioni personali. Ovviamente gli utenti non possono accorgersi di ciò, vivendo nella tranquillità di essere protetti, almeno per le falle a cui ha posto rimedio il team Android di Google.

Come verificare la correttezza delle patch

Ma c’è un modo per capire se sul proprio telefono sono realmente presenti le ultime patch di sicurezza. Basta scaricare dal Play Store (e solo dal Play Store) Snoopsnitch, un’app gratuita e sicura, che funziona con tutte le versioni di Android tranne la 8.1, per la quale può non mostrare tutte le stringhe utili, quindi è poco attendibile. In generale, con l'arrivo di Android P dovrebbe andare meglio.

I risultati

Una volta installata e avviata l’app, bisogna premere su Click here to test patch level. Dopo un paio di minuti si otterranno i primi risultati. Questi mostreranno la presenza delle patch corrette, il numero delle eventuali da effettuare e quelle mancanti dopo l’ultima data disponibile per il singolo dispositivo. Cioè? Sul Galaxy S9+ usato per la nostra prova, risultano 45 patch, tutte quelle possibili al giorno del test. Sul Note8 invece sono assenti ben 7 patch nel mezzo dei rilasci avvenuti in due anni. Ciò vuol dire che nonostante il sistema abbia ricevuto le ultime, non sono presenti tutte quelle diffuse da Google ma probabilmente solo le principali.

Nel caso del Note8, nonostante manchino alcune patch, non vi è difformità da quanto mostrato nelle informazioni e le correzioni installate. Altri smartphone invece potrebbero individuare problemi maggiori, ad esempio la completa assenza degli update recenti nonostante l’indicazione di una loro presenza.

I ricercatori non hanno spifferato quali modelli mentono spudoratamente ma nei loro esperimenti hanno usato un po’ di tutto, da Samsung a Motorola, passando per HTC e la stessa Google, dai cui laboratori sono usciti Pixel e Pixel 2.

Per saperne di più:

• Lo smartphone è spento? Ti spia lo stesso
• WhatsApp: tutti i virus conosciuti (e ancora in circolazione)
• Attraverso Stagefright l'hacker attacca gli smartphone Android