Si chiama “patch gap” e descrive il tempo necessario a una patch di sicurezza per una vulnerabilità nota per passare dal fornitore del software ai singoli produttori di dispositivi. E le ultime vittime sono i milioni smartphone Google Pixel, Samsung, Xiaomi e altri marchi di dispositivi Android.
Secondo il team Project Zero di Google, dopo che i ricercatori hanno scoperto cinque bug separati nel driver della GPU ARM Mali, ARM ha “prontamente” rilasciato una patch di sicurezza a luglio e agosto. Tuttavia, Project Zero ha riferito che ogni dispositivo di test che hanno esaminato questa settimana rimane ancora vulnerabile.
Il problema risiede principalmente nel lavoro che ogni produttore deve svolgere per implementare le patch: coloro che gestiscono smartphone con i GMS possono affidarsi alle patch generiche rilasciate da Google per Android e farle proprie: ciò permette di non eseguire alcun test di validazione su altre possibili vulnerabilità.
In altre parole, ogni produttore ha talmente tanti smartphone da gestire che non riesce a tenere il passo e “glissa” su alcune vulnerabilità non includendo i fix nelle patch di sicurezza. Si tratta senza dubbio di una pratica decisamente pericolosa e poco trasparente nei confronti degli utenti.
Fino a quando non ci sarà una soluzione migliore per ridurre il ritardo tra il momento in cui una patch di sicurezza viene rilasciata e raggiunge l’ecosistema più ampio, spetta ai team di sicurezza rimanere “vigili”, ha consigliato il team di Google Project Zero.
“Proprio come si consiglia agli utenti di applicare le patch il più rapidamente possibile una volta che è disponibile una versione contenente aggiornamenti di sicurezza, così lo stesso vale per fornitori e aziende“, ha spiegato il rapporto sul divario delle patch. “Ridurre al minimo il ‘gap di patch’ come fornitore in questi scenari è probabilmente più importante, poiché gli utenti finali (o altri fornitori a valle) stanno bloccando questa azione prima di poter ricevere i vantaggi in termini di sicurezza della patch“.
