Google ha pubblicato il report sulla sicurezza di Android. Offre uno sguardo sulle modalità con cui i servizi Google proteggono l’ecosistema Android
Google, per il secondo anno, ha pubblicato il report annuale sulla sicurezza di Android. Si tratta di una sintesi dettagliata che offre uno sguardo sulle modalità con cui i servizi Google proteggono l’ecosistema Android e offre una panoramica sulle nuove funzionalità per la sicurezza introdotte nel 2015, insieme a una descrizione del nostro lavoro con i partner Android e l’intera comunità di ricerca sulla sicurezza.
Un obiettivo importante di questo rapporto è quello di favorire un dialogo informato sulla sicurezza di Android. “Siamo fermamente convinti che una discussione rigorosamente fattuale sulla sicurezza ci aiuterà a guidare i nostri sforzi per rendere l’ecosistema di Android più sicuro” recita il blogpost pubblicato da Google.
Migliorare i servizi Google per proteggere gli utenti Android
Nell’ultimo anno, Google ha investito in maniera significativa nel machine learning e nell’event correlation per rilevare i comportamenti potenzialmente pericolosi: ha protetto gli utenti dai malware e da altre app potenzialmente dannose, verificando più di 6 miliardi di app installate ogni giorno. Ha protetto gli utenti da minacce, in rete e su dispositivo, analizzando oltre 400 milioni di dispositivi al giorno, e centinaia di milioni di utenti di Chrome su Android da siti web non sicuri grazie alla Navigazione sicura.
Ha reso ancora più difficile installare applicazioni potenzialmente dannose su Google Play. I miglioramenti introdotti lo scorso anno hanno ridotto di più del 40% le probabilità di installare app potenzialmente dannose da Google Play rispetto al 2014. I tentativi di installazione di app potenzialmente dannose, che sono stati impediti, rientrano principalmente nelle categorie:
– Raccolta dati: diminuita di più del 40%, fino all’0,08% delle installazioni
– Spyware: diminuiti di più del 60%, fino allo 0,02% delle installazioni
– “Hostile downloader”: diminuiti di più del 50%, fino allo 0,01% delle installazioni
Nel complesso, app potenzialmente dannose sono state installate su meno dello 0,15% dei dispositivi che installano app solo da Google Play. Considerando anche i dispositivi che installano applicazioni al di fuori di Google Play, in media meno dello 0,5% dei dispositivi Android ha installato una app potenzialmente dannosa nel 2015, un dato simile a quello della scorsa edizione del report.
Per Google è fondamentale proteggere anche gli utenti che installano app al di fuori di Google Play. Questo è possibile grazie allo strumento di Verifica app; è migliorata di oltre il 50% l’efficacia degli avvisi relativi ad app potenzialmente dannose, mostrati da Verifica app. Nel 2015 sono aumentati i tentativi di installazioni potenzialmente dannose al di fuori di Google Play, e scoraggiati svariati tentativi di installare app potenzialmente dannose su dispositivi al di fuori di Google Play.
L’anno scorso è stato lanciato Android 6.0 Marshmallow, che ha introdotto molte novità in fatto di protezione e controlli di sicurezza.
La crittografia totale del disco è ora un requisito per tutti i nuovi dispositivi Marshmallow con sufficiente capacità di archiviazione e ora permette anche di crittografare i dati su scheda SD. Le autorizzazioni per le app aggiornate permettono agli utenti di gestire i dati che condividono con le singole app, con una maggiore precisione e un maggiore controllo.
Il nuovo sistema di verifica avvio assicura che il telefono sia sicuro, dal bootloader fino al sistema operativo.
Il livello patch di sicurezza Android permette di verificare che il dispositivo disponga degli aggiornamenti di sicurezza più recenti.
E molto altro, per esempio il supporto per i lettori di impronte digitali e i miglioramenti SELinux.
Ancora più impegno per l’ecosistema Android
Google si impegna a favorire la ricerca sulla sicurezza di Android e investiamo per rafforzare la protezione nell’ecosistema. A giugno Android è entrato a far parte del Vulnerability Rewards Program di Google, che offre un compenso ai ricercatori nel campo della sicurezza quando individuano dei bug e ce li segnalano. Abbiamo risolto così oltre 100 vulnerabilità, offrendo ai ricercatori più di $200.000 per le loro segnalazioni.
Ad agosto è stato lanciato il nostro programma pubblico di aggiornamento sulla sicurezza su base mensile per l’Android Open Source Project, come pure aggiornamenti di sicurezza per tutto il ciclo di vita dei dispositivi Nexus. Vogliamo che il ciclo di vita degli aggiornamenti per i dispositivi Nexus sia un modello per tutti i produttori Android, per questo lavoriamo con i partner dell’ecosistema per facilitare questo tipo di programmi. Da allora, i produttori hanno fornito aggiornamenti mensili sulla sicurezza per centinaia di modelli diversi di dispositivi Android e centinaia di milioni di utenti hanno installato gli aggiornamenti mensili per la sicurezza sui propri dispositivi. Nonostante questi passi avanti, molti dispositivi Android non ricevono ancora gli aggiornamenti mensili. Da parte di Google c’è l’impegno ad aiutare i partner ad aggiornare sempre più dispositivi in maniera tempestiva.
Una maggiore trasparenza, un dibattito informato sulla sicurezza e l’innovazione continua aiuteranno a preservare la sicurezza degli utenti, migliorare i servizi di protezione di Android e interagire con l’ecosistema e tutta la comunità di ricerca sulla sicurezza nel 2016 e oltre.
