Google si dimentica Jelly Bean?

Fa discutere la nuova politica di sicurezza adottata per le versioni di Android 4.3 e precedenti.

In questi giorni non si parla d’altro che di Lollipop e KitKat, ma la stragrande maggioranza degli smartphone Android in circolazione è ancora legato a versioni precedenti del sistema operativo: Jelly Bean, ovvero 4.3, e tutte le release precedenti costituiscono ancora la maggioranza dei dispositivi in circolazione (circa il 60 per cento secondo le più recenti stime). Per tutti questi, denuncia Tod Beardsley di Rapid7, si preparebbero tempi duri alla luce delle decisioni prese da Google in materia di sicurezza.

Distribuzione Android novembre 2014
Distribuzione Android novembre 2014

Secondo Beardsley, a Mountain View avrebbero deciso di cessare ogni sviluppo e supporto per un componente chiave delle più vecchie release di Android: WebView. Su quest'ultimo è basato il browser web integrato in tutte le versioni fino alla 4.3 (successivamente Google ha deciso di promuovere Chrome a browser ufficiale), dunque se si individuassero problemi che affliggono WebView ci sarebbero parecchi milioni di dispositivi potenzialmente interessati alla faccenda.

Non è comunque il caso di strapparsi i capelli: il fatto che Google non supporti e non sviluppi più WebView non significa che non accetti da parte di volenterosi volontari sviluppatori terzi il codice necessario a sanare eventuali vulnerabilità. Questo categoria di benefattori potrebbe comprendere i liberi professionisti, così come vendor e operatori che rimangono legati a una vecchia versione di Android per via della legacy di qualche dispositivo che commercializzano. Inoltre, installare Chrome dovrebbe essere un'operazione possibile su moltissimi (praticamente tutti) i dispositivi interessati dalla faccenda: una mossa che non cancella i potenziali rischi, ma di sicuro li attenua in determinate condizioni. Senza contare altri fattori, che Google ha già precisato in passato, che limitano l'impatto di queste rivelazioni.

Ci sono poi dei fattori tecnici, non banali, da considerare: Google non fornisce direttamente agli utenti Android le patch per il sistema operativo, bensì deve transitare per operatori telefonici e produttori dei dispositivi per far giungere le patch dai suoi laboratori ai telefoni dei clienti. La decisione di limitarsi allo sviluppo di KitKat e Lollipop, quindi, potrebbe anche essere legata all'effettiva possibilità di intervenire realmente sul prodotto finale.

Ciò detto, denuncia Beardsley, in circolazione ci sono già diversi moduli che potrebbero essere sfruttati dai malintenzionati per prendersi delle libertà sui sistemi Jelly Bean e più vecchi in circolazione. Da qui l'appello: Google tenga conto dei suoi molti affezionati clienti che non hanno l'ultimo grido di smartphone in tasca, torni sui suoi passi e si impegni a scovare un modo per garantire la sicurezza per tutti.

 

Google-Android-Lollipop
Google-Android-Lollipop

 

Ti consigliamo anche

Link copiato negli appunti