La patch Android a 3 livelli di Google potrebbe causare confusione

Google ha rilasciato un altro grande lotto mensile di patch di sicurezza per Android, questa volta risolvendo 55 vulnerabilità, otto delle quali sono classificate come critiche.

La novità di questa versione è che le correzioni sono suddivise in tre diversi "livelli di patch di sicurezza" - stringhe di data che indicano agli utenti quanto sono aggiornati i loro dispositivi. Sebbene ciò potrebbe facilitare ai produttori di dispositivi l'integrazione di patch applicabili ai loro dispositivi, potrebbe generare confusione tra gli utenti normali.

Da agosto 2015 Google ha rilasciato aggiornamenti di sicurezza per Android in base a una pianificazione mensile. Questo aveva lo scopo di aggiungere una certa prevedibilità alle patch Android e, in effetti, alcuni produttori di dispositivi si sono impegnati a aggiornamenti mensili della sicurezza.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Google condivide le sue prossime patch con i fornitori in anticipo e quindi rilascia gli aggiornamenti del firmware per i propri dispositivi Nexus, solitamente il primo lunedì di ogni mese, insieme a un bollettino sulla sicurezza. Dopo un paio di giorni, le patch vengono anche rilasciate per Android Open Source Project (AOSP) e diventano pubbliche.

Ogni bollettino sulla sicurezza aveva il proprio livello di patch di sicurezza. Questo è espresso come una stringa di data nelle impostazioni di Android in "Informazioni sul telefono" e indica che il firmware contiene tutte le patch di sicurezza Android fino a quella data.

Tuttavia, a luglio Google ha introdotto due livelli di patch per lo stesso bollettino mensile: uno per Errori di Android che interessano tutti i dispositivi e uno per difetti nei driver per determinati componenti hardware.

L'argomento era che questo consentiva ai produttori di dispositivi di integrare solo un set di patch per alcuni dispositivi che non avevano i componenti hardware interessati dal secondo set di difetti Questo mese, tuttavia, ci sono tre stringhe a livello di patch: 2016-09-01, 2016-09-05 e 2016-09-06.

Il livello di patch di sicurezza 2016-09-01 copre le correzioni di 25 difetti in vari componenti del sistema operativo Android. Due dei difetti, in LibUtils e Mediaserver, sono valutati critici e possono essere sfruttati tramite file appositamente predisposti per ottenere l'esecuzione di codice remoto.

Il livello di patch 2016-09-05 copre le correzioni per 28 vulnerabilità nei driver di sistema specifici del dispositivo da Qualcomm, Synaptics, Broadcom, Nvidia, ma anche nei sottosistemi sicurezza, networking, netfilter e audio del kernel, oltre al file system ext4 del kernel, al driver di rete, al decodificatore ASN.1 e al driver USB. Cinque di questi difetti sono valutati come critici e potrebbero portare a un compromesso permanente che potrebbe richiedere il reflash del dispositivo.

Il livello di patch 2016-09-06 copre due vulnerabilità, una fondamentale nel sottosistema di memoria condivisa del kernel e una altamente valutata nel componente di rete Qualcomm. La spiegazione di Google per questo terzo livello di patch è che i due problemi trattati sono stati scoperti dopo che i suoi partner erano già stati informati della maggior parte degli altri difetti.

Vale la pena notare che i livelli delle patch sono complementari. Il livello 2016-09-06 include anche le correzioni negli altri due livelli di patch, mentre 2016-09-05 include le correzioni del 2016-09-01. Tuttavia, secondo Google, 2016-09-05 potrebbe anche includere "un sottoinsieme di correzioni associate al livello di patch di sicurezza del 6 settembre 2016".

Questo aggiunge solo confusione. Ad esempio, dopo l'ultimo aggiornamento, se il dispositivo mostra un livello di patch di sicurezza del 6 settembre 2016, ha tutte le patch applicabili, ma se mostra il 5 settembre 2016, potrebbe includere o meno le due correzioni nel 2016- Livello patch 09-06.