Sicurezza

Google abbandona gli utenti Android senza KitKat, in milioni esposti ai bug

Google ha deciso di non distribuire aggiornamenti di sicurezza a chi ha Android 4.3 e versioni precedenti, una scelta che lascia centinaia di milioni di utenti esposti a bug potenzialmente pericolosi. I bug riguardano in particolare WebView, il motore di rendering usato dal browser predefinito in Android fino alla versione 4.3 – ora il browser predefinito è Google Chrome.

A informarci di questa scelta è la società di sicurezza Rapit7, che aveva comunicato a Google un problema riguardante WebView in Android 4.3. I tecnici dell'azienda si sono sentiti rispondere con sorpresa che da Google non arriverà alcuna correzione, nonostante siano ancora moltissimi – la maggior parte – gli utenti che usano questo software.

android broken

Android si è rotto?

"Se la versione (di WebView) colpita è antecedente a 4.4 in linea generale non sviluppiamo la patch internamente", hanno scritto i rappresentanti di Google, "Non potremo intraprendere alcuna iniziativa a parte informare gli OEM". La risposta di Google spiega poi che saranno eventualmente accettate patch scritte direttamente dalle persone che trovano le vulnerabilità.

In altre parole dovremo fare affidamento sui vari LG, Samsung, Motorola e altri per la pubblicazione di una patch correttiva. E se non arriverà il browser predefinito di quasi un miliardo di smartphone resterà esposto ad attacchi potenzialmente molto pericolosi. Un'eventualità tutt'altro che remota, visto che di solito gli OEM non sono certo esemplari nel pubblicare aggiornamenti software.

Una scelta radicale, quella di Google, difficile da condividere. Dopotutto non stiamo parlando di aggiungere una nuova funzione o di cambiare l'aspetto di un pulsante, ma di lasciare gli utenti esposti a rischi. Perché l'azienda californiana ha scelto una strada tanto insolita?

diffusione di android

Si tratta con ogni probabilità di un modo per fare pressione sugli OEM stessi. I produttori di smartphone non vogliono investire nello sviluppo software, come sappiamo, e spesso non fanno nemmeno lo sforzo di aggiungere alle proprie versioni gli aggiornamenti di sicurezza pubblicati da Google. Quest'ultima invece lo fa, ma forse ha deciso che si prenderà cura solo di software protetti da licenza e da rigidi accordi commerciali.

Ecco, smettendo di pubblicare tali aggiornamenti Google spera forse di forzare gli OEM a scegliere tecnologie proprietarie di Google, delegando a quest'ultima anche l'onere degli aggiornamenti. Così Android perde un po' della sua base open source, ovviamente, ma per Google è sicuramente una situazione preferibile. Che lo sia anche per i consumatori però resta da vedere.

Questo non significa uccidere Android, né rinunciare all'approccio open source: Google sta dicendo ai produttori che possono impegnarsi a rispettare le licenze e le richieste che fa, oppure scegliere la strada di un Android completamente aperto ma anche prendersi la responsabilità degli aggiornamenti. In teoria tutto fila, ma in pratica a restare con i bug irrisolti sono poi le persone che comprano gli smartphone – magari del tutto inconsapevoli riguardo a questa faccenda.