Perché gli iPhone sono più sicuri dei telefoni Android
Ecco un segreto sporco: la maggior parte dei dispositivi Android non riceve mai aggiornamenti di sicurezza. Il 95% dei dispositivi Android può ora essere compromesso tramite un messaggio MMS, e questo è solo il bug più alto profilo. Google non ha modo di applicare patch di sicurezza a questi dispositivi e ai produttori e ai carrier non interessa.
L'ecosistema Android sta diventando un hellscape tossico di dispositivi senza patch pieni di buchi di sicurezza. Per fare un confronto, quando iOS di Apple ha un buco di sicurezza, Apple può semplicemente aggiornare tutti gli iPhone supportati con una nuova versione. Anche i telefoni Windows sono meglio di Android qui.
I telefoni Android non sono garantiti per ottenere aggiornamenti di sicurezza
Il recente bug di Stagefright MMS ci offre un buon caso di studio, dimostrando cosa succede quando qualcuno scopre un buco di sicurezza in Android. Google crea patch e le applica al codice del progetto open source Android principale. Google invia quindi queste patch ai produttori di hardware: Samsung, HTC, Sony, LG, Motorola, Lenovo e altri. Il coinvolgimento di Google finisce qui. Non possono costringere i produttori a rilasciare effettivamente queste patch. Questo spesso sembra essere il punto in cui finisce il processo.
Se un produttore desidera applicare queste patch, deve applicarle al codice Android di un dispositivo e creare una nuova versione di Android per quel dispositivo. Questo è un processo separato per ogni singolo telefono e tablet supportato dal produttore. Ogni produttore deve quindi contattare il corriere con cui ha venduto i telefoni e fornire ogni singola patch specifica per ogni operatore in tutto il mondo. Il coinvolgimento del produttore finisce qui. Anche se impazziscono e rattoppano ogni singolo dispositivo che stanno ancora supportando - molto improbabile - non possono costringere i carrier ad applicare effettivamente queste patch
I corrieri possono quindi scegliere di inviare la nuova versione di Android con patch ai loro dispositivi oppure no. Se lo fanno, c'è una buona probabilità che sia dopo un lungo periodo di test in cui le falle della sicurezza continueranno a restare. Anche se un corriere desidera farlo, ci sono buone probabilità che vogliano testare l'aggiornamento solo su alcuni telefoni di punta e non su vecchi dispositivi.
In pratica, la maggior parte dei dispositivi Android non riceve aggiornamenti di sicurezza e rimane vulnerabile. Google non ha scelto di imporre la fornitura di aggiornamenti di sicurezza come impongono altre cose nei contratti con i produttori. I produttori creano molti, molti dispositivi diversi e non vogliono fare il lavoro di aggiornarli tutti. I corrieri spediscono molti, molti dispositivi diversi e non vogliono disturbarli a testarli. Piuttosto che fornire aggiornamenti e mantenere vecchi telefoni, preferiscono spingere i clienti ad acquistare nuovi dispositivi. Questi buchi di sicurezza sono stati corretti negli ultimi build di Android, quindi un nuovo dispositivo sarà sicuro - almeno fino a quando non verranno trovati più buchi e non saranno riparati.
Sì, quella funzione di "controllo degli aggiornamenti" sul tuo dispositivo Android controlla solo se ci sono aggiornamenti approvati dal produttore e dal gestore. Non è un modo affidabile per assicurarti di avere aggiornamenti di sicurezza.
Gli iPhone sono garantiti aggiornamenti di sicurezza tempestivi
Il modello di aggiornamento di Android è orribilmente rotto. Non si tratta solo di ricevere le ultime e migliori funzionalità. Invece, non c'è modo di garantire che tu abbia le patch di sicurezza correnti. Non c'è davvero nemmeno modo di dire esattamente quali buchi di sicurezza sono stati patchati nel tuo dispositivo, dal momento che dipendi dal produttore che aggiunge la patch alla build personalizzata di Android e la distribuisce sul tuo dispositivo.
Google ha cercato di evitarlo con Google Play Services, che si aggiorna automaticamente su tutti i dispositivi Android. Ma può fare solo così tanto. Tutti i dispositivi Android con Android 4.4.4 e versioni precedenti - ovvero la maggior parte dei dispositivi Android - dispongono attualmente di un browser Web pieno di buchi di sicurezza perché Google non può aggiornarlo. E ora, quasi tutti i dispositivi Android possono ora essere compromessi con un MMS.
Davvero, questo è terribile. Immagina se i laptop Windows non abbiano mai ricevuto aggiornamenti di sicurezza da Microsoft. Invece, Microsoft rilascia patch a Dell, Lenovo, HP e altri produttori. Il produttore potrebbe scegliere di applicarlo o meno, e se hanno scelto di applicare la patch, quella patch dovrebbe essere approvata dal negozio in cui hai acquistato il laptop prima di raggiungerti. Microsoft sarebbe giustamente rastrellata sui carboni per questo. Microsoft rilascia una patch e viene fornita agli utenti di tutti i modelli di PC Windows tramite Windows Update. Anche il Chrome OS di Google funziona in questo modo senza che i produttori si intromettano.
Vuoi una garanzia reale degli aggiornamenti di sicurezza per il tuo smartphone? Devi praticamente comprare un iPhone, anche se i telefoni Windows di Microsoft sono più avanti di Android qui. Quando viene scoperto un buco di sicurezza in un iPhone, Apple può rilasciare una patch a tutti gli utenti di iPhone tutto in una volta - anche i corrieri non si intromettono.
Anche le autorizzazioni e i controlli sulla privacy sono migliori su iOS
Le autorizzazioni delle app sono un altro caso in cui gli iPhone rimbalzano sui telefoni Android. Android ha iniziato bene, offrendo "permessi per le app": puoi vedere cosa richiede un'app prima di installarlo e scegliere di non installarlo. Gli iPhone ora dispongono di un sistema di autorizzazione migliorato in cui puoi effettivamente scegliere e scegliere i dati a cui l'app può accedere. Hai bisogno di usare un'app, ma non vuoi dargli accesso ai tuoi contatti o altri dati sensibili? Puoi farlo su iOS.
Su Android, le autorizzazioni delle app sono più simili alle richieste: prendili o lascia. Le app spesso richiedono molte più autorizzazioni di quelle che devono realmente funzionare e non sai mai se quel gioco che hai installato stia caricando la tua lista di contatti su un server remoto. Google sta lavorando per aggiungere un controllo dei permessi alle future versioni di Android, ma è troppo poco, troppo tardi. Tali funzioni sono attualmente disponibili solo in ROM personalizzate di terze parti dopo che Google ha rimosso il gestore dei permessi nascosti di Android.
Gli iPhone ti danno effettivamente il controllo su ciò che le app possono fare sul tuo telefono, esponendo le autorizzazioni delle app come controlli sulla privacy utili a chiunque possa capire. Questo aiuta a mantenere i tuoi dati privati al sicuro. Su Android, dipende solo dall'app: puoi controllare solo se utilizzi o meno quell'app.
L'app store bloccato di Apple ha esagerato nel mettere al bando specifici tipi di contenuti, ma solo il fatto di consentire app da un'origine approvata fornisce una protezione aggiuntiva contro il malware. La maggior parte dei malware su Android proviene da Google Play, spesso quando un utente scarica un'app pirata e la installa. Questo non è possibile senza jailbreaking di un iPhone. Il processo di approvazione del negozio di app per iOS è anche un po 'più rigoroso, coinvolgendo una persona che effettivamente testa l'app piuttosto che un algoritmo automatico.
Google ha bisogno di risolvere questa situazione. È inaccettabile che la maggior parte dei dispositivi Android non riceva mai aggiornamenti di sicurezza e sia lasciata vulnerabile a un numero innumerevole di falle nella sicurezza. Molti dispositivi hanno anche bootloader bloccati, il che impedirebbe di correggere il bug da soli installando una ROM personalizzata.
Sì, Android è una piattaforma aperta con molti produttori coinvolti, ma anche Windows. Google ha bisogno di ottenere la sua piattaforma in ordine. Continueremo a vedere sempre peggiori epidemie di sicurezza nella terra di Android fino a quando l'intero ecosistema Android inizierà a preoccuparsi della sicurezza e sarà in grado di applicare patch ai problemi di sicurezza in modo tempestivo e coerente, come ogni altro sistema operativo moderno.
Immagine di credito: Indi Samarajiva su Flickr