Google sta preparando un cambiamento importante nel modo in cui gestisce gli aggiornamenti di sicurezza Android. Invece dei tradizionali bollettini mensili con patch cumulative, il sistema si sposterà verso un approccio “risk-based”, cioè calibrato sul livello di rischio delle singole vulnerabilità.
L’obiettivo è ridurre al minimo la finestra di esposizione agli attacchi più pericolosi, correggendo subito le falle critiche e rimandando quelle meno urgenti a cicli successivi. Una novità che punta a migliorare la protezione degli utenti e a rendere più semplice la gestione degli update per i produttori di smartphone.
Attualmente Google rilascia ogni mese un Security Bulletin (un resoconto insomma) che raccoglie decine di correzioni per vulnerabilità individuate nel sistema Android. Queste patch vengono suddivise in due livelli — uno di base e uno più completo — e distribuite ai produttori di smartphone, che a loro volta le integrano nei propri aggiornamenti di sistema.
Il modello mensile ha però due limiti evidenti: da un lato crea una finestra di esposizione che può durare settimane tra la scoperta di una falla e la sua correzione, dall’altro si scontra con la frammentazione dell’ecosistema Android, che rallenta la diffusione delle patch sui dispositivi in circolazione.
Con il nuovo approccio Google passerà da patch cumulative e cadenzate a un sistema dinamico, dove il fattore determinante è la gravità della vulnerabilità. Le falle più critiche riceveranno una correzione immediata, senza attendere il ciclo mensile, mentre quelle a basso rischio potranno essere inserite in aggiornamenti successivi.
Questo permetterà di ridurre drasticamente i tempi di esposizione agli attacchi più pericolosi. Allo stesso tempo i produttori avranno un carico di lavoro più bilanciato, perché non saranno costretti a implementare grandi pacchetti di fix in un’unica soluzione, ma potranno gestire la distribuzione delle patch in modo più modulare.
La scelta di Google nasce dall’esigenza di aumentare la reattività contro le minacce più pericolose e di semplificare la distribuzione degli update in un ecosistema complesso come quello Android. I bollettini mensili hanno dimostrato di essere troppo lenti per gestire exploit critici, che possono essere sfruttati subito dopo la scoperta.
Per gli utenti questo modello dovrebbe tradursi in aggiornamenti di sicurezza più rapidi e frequenti, con minori rischi di restare esposti a falle gravi. Per i produttori significa poter integrare patch mirate invece di gestire ogni volta pacchetti molto corposi, con possibili benefici anche in termini di velocità di rilascio sugli smartphone.
L’articolo Google rivoluziona la sicurezza su Android: patch quando serve, non una volta al mese sembra essere il primo su Smartworld.
