Nonostante la maggior parte degli smartphone Android riceva gli aggiornamenti di sicurezza con cadenza mensile o trimestrale, è stato dimostrato che molti ricevono solo un “aggiornamento fake” che mostra che la patch più recente è stata installata ma, in realtà, nessuna falla è stata sistemata.
Un’azienda di sicurezza tedesca ha scoperto infatti che alcuni produttori di smartphone Android stanno ingannando i loro clienti. I ricercatori che lavorano per il Security Research Labs (SRL) hanno scoperto che aziende come Google, HTC, Samsung, Sony, Motorola, ZTE, TCL e altri stanno saltando alcuni aggiornamenti delle patch di sicurezza Android anche se i telefoni mostrano, nelle impostazioni, la loro presenza.
SRL ha verificato il firmware su 1.200 dispositivi Android e ha cercato ogni patch diffusa nel 2017. I risultati sono stati interessanti. Al di fuori di Google Pixel e Google Pixel 2, i test hanno rivelato che persino i modelli di fascia alta realizzati dai principali produttori avevano saltato gli aggiornamenti delle patch di sicurezza Android, anche se l’aggiornamento era stato accreditato sul telefono.
Mostrando agli utenti che queste patch sono state installate quando non lo sono, i produttori fanno ritenere ai loro clienti di essere più sicuri di quanto non siano in realtà.
Un esempio fra i più incredibili è quello del Samsung Galaxy J3 (2016). Stando al fondatore della SRL, Karsten Nohl, gli utenti in possesso di tale smartphone credono di aver installato ogni patch Android del 2017, quando in realtà esso ha saltato, sistematicamente, tutti e 12 gli aggiornamenti, tra cui un paio che erano considerati “critici” per mantenere lo smartphone al sicuro.
Non sappiamo come mai aziende di livello mondiale stiano ingannando così i loro clienti. Tra l’altro, è molto probabile che nei prossimi giorni vengano organizzate delle class action di massa per eventuali risarcimenti.
