Federal Communications Commission (FCC) e Federal Trade Commission (FTC) hanno avviato due indagini conoscitive nei confronti dei più importanti player del mercato mobile, un “sondaggio” che ha lo scopo di capire in dettaglio come le aziende gestiscono la distribuzione degli aggiornamenti di sicurezza sui terminali degli utenti finali.
L’ iniziativa di FTC riguarda otto produttori e OEM di alto profilo (Apple, BlackBerry, Google, HTC, LG, Microsoft, Motorola, Samsung), con l’agenzia federale che vuole conoscere i fattori che le aziende considerano nella distribuzione di un update per una vulnerabilità su un particolare dispositivo mobile. FTC vuole poi conoscere anche lo “storico” delle falle che hanno interessato i terminali e l’eventuale disponibilità di patch correttive.
L’indagine di FCC, invece, prende di mira soprattutto i carrier telefonici (AT&T, Sprint, Verizon e altri) che dovranno spiegare il processo alla base della revisione e distribuzione degli aggiornamenti di sicurezza per i dispositivi mobile che in taluni casi transitano attraverso la loro approvazione.
Le tempistiche di gestione degli aggiornamenti per smartphone e dispositivi similari sono questione di dibattito e polemica già di lungo corso, e le due nuove indagini USA sarebbero scaturite da una denuncia di American Civil Liberties Union formulata nel 2013 contro i rallentamenti nella distribuzione dei fix per bachi altamente pericolosi.
Dall’alto della sua posizione più che rilevante nel mercato degli OS mobile, Google Android vanta un poco invidiabile primato nella questione: l’ultima falla di sicurezza “sistemica” identificata dai ricercatori (CVE-2016-2060) risale a svariati anni fa, coinvolge centinaia di milioni di dispositivi e può portare alla compromissione di dati sensibili come i messaggi testuali, le chiamate effettuate e altro ancora.
Introdotta da Qualcomm nella base open source di Android (AOSP) nel lontano 2011, la vulnerabilità coinvolge per lo meno i terminali basati su Android “Jelly Bean” 4.3 e successivi; la patch è già disponibile ma non nel codice di AOSP, per cui la distribuzione a tutta la platea di utenti coinvolti è problematica e richiede il coinvolgimento attivo da parte di OEM e carrier mobile.
Alfonso Maruccia