Google non gradisce troppo l’invadenza di Samsung sul codice di Android. Google Project Zero lo ha messo nero su bianco, puntando il dito contro Samsung pur esplicitando come il problema sia ampiamente condiviso tra tutti gli altri vendor che utilizzano il sistema operativo made in Google.
Jann Horn, l’autore della missiva del GPZ, spiega che il problema non sta nel fatto che i vendor mettano mano al codice: il problema sta nel fatto che tutto ciò viene spesso fatto con eccessiva superficialità, con scarsa qualità del codice, senza le dovute attenzioni al fatto che questi interventi possano aprire nuove brecce nel kernel originale. Insomma: meno si lavora di personalizzazione e meglio è, perché questo dicono i fatti.
Nessuno tocchi Android
Google Project Zero, più che una accusa precisa, sembra voler ribadire un principio: se c’è un lavoro condiviso e collaborativo sul codice di Android, inutile portare avanti interventi puntuali e singolari, poiché si va soltanto a frammentare l’azione senza apportare un bene per il valore collettivo. Il che, paradossalmente, rischia di trasformarsi in un minus sia per Android che per l’esperienza utente sui singoli device.
Tutto nasce dal problema scoperto da Google Project Zero sul Samsung Galaxy A50 (SVE-2019-16132), dove un intervento di Samsung non ha fatto altro che ridurre (invece di aumentare) la sicurezza del dispositivo. Il caso del Galaxy A50 potrebbe inoltre non essere isolato: semplicemente è questo l’unico device analizzato, ma con ogni probabilità il problema è presente anche nel codice di altri device.
Il rischio è questo in tutti i casi: ogni personalizzazione prodotta dai vendor aggiunge elementi e, potenzialmente, nuovi bug che possono mettere a rischio il sistema operativo. Nel caso dell’A50, Samsung ha messo a punto un sistema detto “PROCA” (“Process Authenticator) che avrebbe dovuto garantire maggior sicurezza, ma che in realtà in alcune condizioni consente di violare la memoria e mettere a rischio il dispositivo.
Il giudizio è chiaro: “alcuni degli interventi Samsung sono inutili” e lavorare così sul kernel non può che creare problemi. Tra le righe si legge un richiamo generalizzato, dove Samsung è sul banco degli imputati, ma dove anche nessun altro sembra potersi dichiarare innocente.