Ricevere gli aggiornamenti Android per la sicurezza con Project Mainline

Uno dei problemi atavici che attanagliano Android ancora oggi consiste nell’indisponibilità di un numero sufficiente di aggiornamenti. Aggiornare costantemente il firmware di ogni singolo modello di smartphone Android che viene immesso sul mercato costa e i produttori, soprattutto per i dispositivi di fascia medio-bassa preferiscono “glissare” e abbandonare i device al loro destino.

Quando un dispositivo Android non fosse più supportato dal produttore è bene valutare l’installazione di una ROM non ufficiale scegliendo comunque tra i progetti più noti ed apprezzati: Aggiornamento Android, come effettuarlo quando sembra impossibile.

Utilizzare un dispositivo Android che sfrutta una vecchia versione del sistema operativo e, soprattutto, sul quale non siano stati applicati gli aggiornamenti per la sicurezza più recenti non è certo una buona cosa. Come abbiamo evidenziato anche nell’articolo Antivirus Android: no, non è affatto inutile, codice malevolo può fare leva su vulnerabilità conosciute per acquisire i privilegi di root, sottrarre dati personali, monitorare le attività dell’utente e appropriarsi dell’altrui denaro.

Provate a portarvi nelle impostazioni di Android, scegliere Sistema, Avanzate quindi Informazioni sul telefono o Informazioni sul tablet quindi cercate la voce Livello patch sicurezza Android (in alcuni dispositivi è necessario portarsi nella sezione Aggiornamento di sistema). Se la data visualizzata fosse piuttosto indietro nel tempo significa che il dispositivo non è aggiornato con le ultime patch di sicurezza e che quindi è potenzialmente esposto a rischi di aggressione.

Mentre nel caso di iOS Apple tende a mantenere sul mercato solamente un’unica versione del sistema operativo, nel caso di Android – ancor oggi – coesistono tantissime release differenti, alcune delle quali ormai davvero molto vecchie.
Per rendersene conto basta visitare questa pagina, recentemente aggiornata, in cui Google dà conto delle quote di utilizzo di ciascuna versione di Android.
Il problema della frammentazione di Android non è una novità e nel corso del tempo Google ha cercato di porvi rimedio usando differenti strategie. Ma il punto non è tanto, a nostro avviso, il passaggio da una versione di Android a quella più recente quanto piuttosto avere la possibilità di un sistema operativo aggiornato con tutte le ultime patch per la sicurezza.
Nell’articolo Qual è il sistema operativo più sicuro per dispositivi mobili? abbiamo illustrato il nostro punto di vista evidenziando che Google rilascia mensilmente aggiornamenti per la sicurezza di Android ma se questi non vengono fatti propri dai produttori dei dispositivi mobili e, soprattutto, distribuiti agli utenti finali si rischia di lasciare esposta a un ampio ventaglio di vulnerabilità una vastissima schiera di device.

Android Update Alliance e Project Treble: un fallimento e un primo successo

In occasione della Google I/O 2011, quindi un bel po’ di anni fa, l’azienda di Mountain View presentò l’iniziativa Android Update Alliance.
L’obiettivo era quello di spronare i produttori e gli operatori di telecomunicazioni a rilasciare con maggiore costanza aggiornamenti per i dispositivi Android.
Purtroppo l’iniziativa non ebbe successo e non riuscì assolutamente a raccogliere l’interesse delle parti coinvolte. Sul mercato continuarono a restare dispositivo Android mai aggiornati e, di conseguenza, intrinsecamente insicuri.

A distanza di sei anni, Google lanciò Project Treble del quale abbiamo abbondantemente parlato: Project Treble: cos’è e come migliorerà l’aggiornamento di Android.
Con Project Treble i tecnici di Google riprogettarono le modalità con cui vengono gestiti gli aggiornamenti di Android e dopo un’adozione iniziale piuttosto lenta, con il rilascio di Android 9.0 Pie il supporto per Project Treble è divenuto obbligatorio.

Con Project Treble Google ha finalmente cominciato a registrare risultati positivi dal momento che la gestione e la distribuzione degli aggiornamenti per il sistema operativo è divenuta più semplice per tutti i produttori.

Ciononostante, a dispetto della richiesta di Google di assicurare agli utenti aggiornamenti per almeno due anni dall’acquisto del terminale, almeno nel caso di Android One (vedere Android One: confermati due anni di supporto da parte del produttore), molti dispositivi Android continuano a non ricevere update a cadenza mensile come accade nel caso dei Pixel e degli altri dispositivi Android One.

Persistono quindi il problema della frammentazione e quello legato alla mancata distribuzione degli aggiornamenti di sicurezza, compresi i più critici.

Project Mainline, nuova soluzione al problema

In occasione della conferenza Google I/O 2019, Google ha presentato Project Mainline, nuova iniziativa che ha come fine ultimo quello di distribuire sui terminali degli utenti almeno gli aggiornamenti per la sicurezza di Android e ciò indipendentemente dal comportamento tenuto dai singoli produttori hardware e dagli operatori di telefonia: Android Q, presentate le principali novità della decima versione.

Con Project Mainline l’idea è quella di bypassare il sistema di aggiornamento dei dispositivi messo a punto dai singoli produttori per rilasciare, distribuire e installare automaticamente le patch di sicurezza più importanti attraverso il Play Store.
Nel corso del tempo i Play Services di Google sono divenuti un componente di sistema sempre più importante e capace di intervenire direttamente su molteplici aspetti correlati con la configurazione del dispositivo mobile Android.

Project Mainline non consentirà di aggiornare la versione di Android installata sul dispositivo mobile a una release successiva (non metterà quindi fine al problema della frammentazione) ma darà modo a Google di mettere in sicurezza i device degli utenti finali applicando aggiornamenti relativi a 14 differenti moduli. I componenti coinvolti, almeno stando alle informazioni di cui siamo in possesso fino ad oggi, saranno i seguenti: ANGLE, APK, Captive portal login, Conscrypt, DNS resolver, Documents UI, ExtServices, Media codecs, Media framework components, Network permission configuration, Networking components, Permission controller, Time zone data, Module metadata.
Con questa soluzione gli utenti non saranno più costretti a usare un dispositivo intrinsecamente insicuro che non viene aggiornato per mesi o addirittura per anni.

Un bel passo in avanti, senza ombra di dubbio. L’unico problema è che Project Mainline sarà disponibile a partire dalla data di rilascio di Android Q e solo per quei dispositivi che monteranno tale versione del sistema operativo.
Quindi, al solito, se non si potrà aggiornare ad Android Q, non si potrà mai approfittare dei benefici di Project Mainline.

Quando si potranno ricevere gli aggiornamenti per la sicurezza di Android attraverso Project Mainline

Come indicato in precedenza, soltanto coloro che potranno aggiornare ad Android Q o che installeranno una ROM basata su tale versione del sistema operativo saranno in grado di ottenere automaticamente gli aggiornamenti di sicurezza attraverso Project Mainline.

Allo stato attuale è confermato che 23 dispositivi mobili riceveranno Android Q molto rapidamente quando sarà rilasciato in versione finale in autunno.
I più fortunati saranno i possessori dei seguenti dispositivi Android:

– Google Pixel (complessivamente 8 modelli, compresi gli ultimi Pixel 3a e 3a XL)
– Asus Zenfone 5z
– Essential PH-1
– Nokia 8.1
– Huawei Mate 20 Pro
– LG G8
– OnePlus 6T
– Oppo Reno
– Realme 3 Pro
– Sony Xperia XZ3
– Tecno Spark 3 Pro
– Vivo X27
– Vivo NEX S
– Vivo NEX A
– Xiaomi Mi 9
– Xiaomi Mi MIX 3 5G