Buon compleanno al sistema operativo Android, presentato per la prima volta da Google esattamente 3 anni fa con l’ambizioso obbiettivo di conquistare il mercato mobile e quello dei dispositivi embedded . Oggi l’OS androide sperimenta una crescita continua sugli smartphone come altrove, ma il prezzo da pagare per la pervasività è un livello di sicurezza inferiore rispetto al cuore Linux su cui Android è basato.
Prendendo in considerazione il solo mercato della telefonia mobile, il market share conquistato da Android viene attualmente stimato nel 20 per cento del totale. Grazie all’adozione da parte di una pluralità di produttori di smartphone e carrier telefonici, l’OS di Google totalizza un volume di unità vendute superiore a quello di iOS/iPhone. Android non accenna a frenare la propria corsa alla conquista dei telefonini di tutto il mondo e si prepara ad approdare anche sui set-top box televisivi ( Google TV ), sulle automobili e dovunque ci sia necessità di un sistema operativo integrato con spiccata vocazione alla connettività telematica.
Purtroppo per gli utenti, questa crescita inarrestabile sembra avere lo svantaggio di un livello di sicurezza inferiore agli altri prodotti open source basati sul kernel Linux: un’accurata analisi del codice condotta dalla società di sicurezza Coverity ha evidenziato la presenza di 359 bachi software nella versione di Android integrata sullo smartphone DROID Incredibile di HTC, 88 dei quali classificabili come “ad alto rischio”.
La densità dei bachi software scovata in Android è di 0,47 per ogni 1000 linee di codice, dice Coverity, di molto inferiore alla media registrata sugli altri OS per smartphone (1 baco ogni 1.000 linee di codice) ma il doppio di quanto registrato analizzando il kernel di Linux. Nel caso di Android, lo svantaggio principale è quello della sua alta vocazione alla customizzazione da parte dei carrier e dei produttori di smartphone, un problema reso ancora più grave dal fatto che i suddetti produttori rilasciano patch correttive con ritmi molto più blandi rispetto a un qualsiasi progetto open source “community-driven”.
L’ennesima dimostrazione di questa perniciosa tendenza alla procrastinazione dell’update arriva da un nuovo exploit realizzato da M.J. Keith di Alert Logic , un codice malevolo che sfrutta un ben noto baco del framework di rendering Webkit (usato dal browser Chrome integrato su Android) per aprire una backdoor in attesa di ordini da remoto.
A rischio sono i contenuti presenti sulla scheda SD e qualsiasi cosa a cui si possa accedere attraverso il browser, dice Keith, mentre il target dell’exploit è “limitato” ai possessori di dispositivi basati su una versione di Android precedente alla 2.2 (dove il baco risulta chiuso). Non che ci sia molto da festeggiare, visto che è Google stessa ad ammettere che l’ultima versione dell’OS mobile è installata soltanto sul 37 per cento dei dispositivi basati su di esso .
Alfonso Maruccia