Per quanto tempo è sicuro usare un dispositivo Android?

Google non è responsabile dell’aggiornamento di tutti i dispositivi Android in circolazione, solo della propria serie Pixel. Per gli altri dispositivi mobili spetta al produttore produrre e trasferire ai singoli utenti gli aggiornamenti, compresi quelli di sicurezza.

Prendiamo come esempio i dispositivi della serie Samsung Galaxy di punta: quando Google rilascia una nuova versione di Android, Samsung la modifica integrandovi la sua interfaccia, tante personalizzazioni e funzionalità aggiuntive per poi renderla disponibile ai suoi clienti. Ogni produttore rilascia gli aggiornamenti Android con tempistiche differenti: i Google Pixel supportati, ovviamente, sono i primi a ricevere le nuove versioni di Android.

Ogni Google Pixel gode di 3 anni di aggiornamenti del sistema operativo (si pensi alle major release come Android 12, Android 13,…) e riceve patch di sicurezza su base mensile. I Pixel 6 e seguenti ricevono aggiornamenti di sicurezza per 5 anni con il periodo di supporto che inizia sempre quando il telefono viene rilasciato da Google, non quando lo si acquista.

I telefoni e i tablet di punta realizzati da Samsung ricevono adesso 4 anni di aggiornamenti importanti per il sistema operativo mentre i dispositivi più economici della stessa azienda non vanno oltre i 2-3 anni di supporto, senza specifiche garanzie.

Ogni produttore, comunque, applica le sue specifiche politiche di aggiornamento, nonostante il “pressing” esercitato da Google. OnePlus ha promesso che alcuni smartphone presentati nel 2023 riceveranno quattro major release di Android e 5 anni di patch di sicurezza (anche se queste ultime vengono rilasciate con cadenza bimestrale anziché mensile). Motorola fornisce solo 1-2 anni di aggiornamenti per la maggior parte dei suoi telefoni.
Una lista degli smartphone che saranno abbandonati dai rispettivi produttori nel corso dei prossimi mesi è disponibile a questo indirizzo.

In ogni caso, la maggior parte dei dispositivi Android cessa di ricevere gli aggiornamenti principali (nuove versioni del sistema operativo) e le patch di sicurezza che Google documenta ogni mese nei suoi bollettini ben prima che l’hardware diventi inutilizzabile, ad esempio perché si presenta un guasto o diventa realmente obsoleto (ad esempio perché le app Android impongono requisiti più elevati…).

Cosa succede quando termina il supporto di Android?

La maggior parte dei servizi e delle app sui dispositivi Android viene aggiornata indipendentemente dal sistema operativo. Ciò vale anche per il Google Play Store e in generale per i Play Services: a differenza di quanto accade nel mondo Apple, quindi, i principali componenti di sistema continuano a essere aggiornati alle versioni più recenti anche quando il dispositivo in uso non fosse più supportato dal produttore.
Parlando di Play Store basti pensare che funziona ancora su Android 4.4, arrivato per la prima volta sui dispositivi presentati a settembre 2013.

Anzi, con Project Mainline, ulteriormente migliorato in Android 13, Google può forzare la distribuzione e l’installazione di patch di sicurezza particolarmente importanti superando l'”immobilità” dei singoli produttori, riducendo le tempistiche e avendo l’opportunità di proteggere i tanti device Android non supportati che ci sono oggi in circolazione e che sono attivamente utilizzati dagli utenti.

Lo stesso browser Google Chrome, come le altre app Android (a meno della modifica dei requisiti applicata dai singoli sviluppatori), si aggiorna senza problemi tramite Play Store su tutti i dispositivi Android che hanno ormai superato il ciclo di vita fissato dal produttore.
Abbiamo detto che Play Store funziona ancora sui device di 10 anni fa: non è la stessa cosa per le app Android. L’app di Facebook richiede ad esempio Android 6.0 e seguenti, Outlook funziona solamente su Android 8.0 e successivi. Di solito le versioni “Lite” o le applicazioni Web consentono di usare le app anche sui vecchi terminali.

Il problema sono le nuove vulnerabilità di sicurezza che vengono scoperte in Android come in qualunque altro sistema operativo e risolte a cadenza mensile dai tecnici Google.
È vero che componenti critici come Chrome e Android System WebView vengono costantemente aggiornati mediante il Play Store (in questo modo si riduce significativamente la superficie d’attacco) ma ancora oggi disporre di un dispositivo Android in grado di ricevere aggiornamenti di sicurezza con regolarità è il modo migliore per essere il più possibile protetti.

Google Play Protect purtroppo non offre ancora una protezione adeguata: sui dispositivi Android non aggiornati con le ultime patch di sicurezza si dovrebbe quindi valutare l’utilizzo di Malwarebytes Antivirus Mobile che offre una solida protezione anche nei confronti delle app che usano permessi pericolosi.

Per risolvere la situazione e tornare a ricevere gli aggiornamenti di sicurezza Google, documentati ogni mese nel bollettino dell’azienda, è possibile effettuare l’aggiornamento Android a una ROM alternativa.
Per procedere è in genere necessario attivare il debug USB nelle Opzioni sviluppatore Android, sbloccare il bootloader, installare una recovery personalizzata (si tratta dell’ambiente “di servizio” che viene attivato di solito premendo contemporaneamente il pulsante di accensione e il tasto “volume giù”) come TWRP e utilizzarla per sostituire la ROM ufficiale del produttore con una alternativa.

La scelta dovrebbe ricadere sempre sulle ROM più conosciute, apprezzate e che possono contare su una comunità attiva e costantemente impegnata sul miglioramento del prodotto: LineageOS è una delle più note mentre Pixelexperience è tra le più “pure”, che cioè permettono di replicare pedissequamente l’esperienza d’uso degli smartphone Google Pixel.
Installando una delle migliori ROM alternative, si sarà certi di ricevere mensilmente gli aggiornamenti di sicurezza Google e beneficiare così di un dispositivo Android sempre protetto.

Vanno invece evitate ROM poco conosciute e progetti che non sono open source: per tutte le ROM alternative più famose, infatti, su GitHub viene puntualmente pubblicato e aggiornato il codice sorgente. Chiunque può prenderne visione, effettuare analisi approfondite e accertarsi che il sorgente non contenga codice potenzialmente dannoso.

Le ROM di terze parti sono derivate dalla versione AOSP (Android Open Source Project) di Android: si tratta del codice sorgente del sistema operativo Google che chiunque può utilizzare per sviluppare progetti alternativi.
AOSP costituisce la base di Android Vanilla, versione che viene distribuita anche ai produttori di dispositivi e che viene ampiamente personalizzata da questi ultimi.
La versione AOSP è inoltre priva dei servizi e delle applicazioni Google, Play Store compreso. I partner di Google stipulano accordi con la società di Mountain View per inserire il Play Store e le altre app dell’ecosistema.
AOSP è certamente una delle principali ragioni del successo della piattaforma Android a livello mondiale.

Per quanto tempo è possibile usare il dispositivo Android in sicurezza? Di base è possibile farlo fintanto che non termina il supporto da parte del produttore. Come abbiamo visto, sostituendo la ROM ufficiale con una ROM alternativa, si può estendere la ricezione degli aggiornamenti di sicurezza per diversi anni. Anche le ROM alternative non sono eterne: accedendo al sito Web ufficiale di ciascun progetto e cliccando sulle caselle Show discontinued devices o simili si possono conoscere i dispositivi che non risultano più supportati.

È anche possibile continuare a usare un dispositivo Android che non riceve più aggiornamenti di sicurezza ma in questo caso bisognerà essere ancora più attenti e scrupolosi. Innanzitutto, è bene accedere alla sezione Info sul telefono delle impostazioni di Android e selezionare Livello patch di sicurezza. Esaminando la data riportata accanto a tale voce si può sapere quando lo smartphone ha ricevuto le ultime patch di sicurezza.
Se non si trovasse tale voce o si volesse qualche informazione in più è possibile installare ed eseguire DevCheck: accedendo alla scheda Sistema si può verificare quanto riportato in corrispondenza della voce Patch di sicurezza.

Come abbiamo visto in precedenza, sui dispositivi non più supportati dal produttore le ultime patch di sicurezza potrebbero essere state ricevute parecchi mesi addietro. I Google Play Services (vedere più sotto nella schermata Sistema di DevCheck), invece, risulteranno aggiornati di recente.

Nel caso in cui si decidesse di continuare a usare un dispositivo Android che non riceve più alcun aggiornamento di sicurezza, è fondamentale installare le app da fonti ufficiali come il Google Play Store o lo store di Amazon e limitarsi a scegliere solo quelle realizzate da sviluppatori conosciuti. È inoltre importante astenersi dall’assegnare qualunque permesso potenzialmente pericoloso e soprattutto le autorizzazioni speciali e le funzioni di accessibilità. Tanti malware Android come GodFather le sfruttano per interagire a basso livello con il dispositivo mobile.
Allo stesso tempo è fondamentale mantenere aggiornati i browser Web usati sul dispositivo e un componente cruciale come Android System WebView utilizzato per il rendering del contenuto delle pagine Web all’interno delle applicazioni.