A poche settimane dal suo arrivo ufficiale, Android Marshmallow ha ricevuto ieri un secondo aggiornamento di sicurezza. Google ha dichiarato che l’update, già distribuito tramite Ota ai dispositivi Nexus, serve per risolvere 23 vulnerabilità presenti nel sistema operativo. Due di queste sono state catalogate come “critiche”, in quanto potrebbero portare all’esecuzione di codice maligno da remoto tramite l’exploit del processo “Mediaserver” (responsabile della gestione dei file multimediali dei device) e delle librerie “libutils” per le utility dell’ecosistema. E torna anche sotto i riflettori il tanto temuto bug delle librerie Stagefright: Big G ha previsto un aggiornamento anche per questa vulnerabilità, etichettata come “alta” e non “critica” solo per la difficoltà di exploit da remoto. Niente comunque di straordinario: update di questo genere sono processi di routine e il numero di falle coinvolto non è elevato. L’ultima release maggiore di iOs, ad esempio, la 9.1, è servita ad Apple per risolvere ben 49 bug.
Sono numerose le aziende che hanno collaborato con Google per scandagliare gli “abissi” di Android e per scoprire le vulnerabilità prima che qualche pirata informatico potesse approfittarne. I bachi, infatti, sono stati segnalati al colosso di Mountain View (e ai suoi team Android Security e Project Zero) da compagnie come Trend Micro, Copperhead Security, System Security Lab e KeenTeam. Ma, a differenza proprio dei sistemi operativi di Apple, il grosso problema della piattaforma del robottino verde è la distribuzione degli aggiornamenti alla miriade di dispositivi compatibili.
La vita per la Mela è piuttosto semplice, perché deve rivolgersi a un numero limitato di device. Con Android entrano in gioco invece i diversi produttori, oltre ovviamente agli operatori telefonici che si trovano al termine della catena e devono fisicamente distribuire gli update. Come detto, la nuova release di Marshmallow è già disponibile per i Nexus, mentre Samsung ha fatto sapere che effettuerà aggiornamenti mensili sugli ultimi modelli di dispositivi Galaxy S (S6 Edge+, S6, S6 Edge, S5), Note (Note 5, Note 4, Note edge) e Tab (Tab S2, Tab S) che già dispongono del nuovo Android. Ad esempio, i Note 5 e i S6 Edge+ sono attualmente consegnati con Lollipop.
Htc, invece, ha impiegato circa novanta giorni per distribuire ai propri clienti Android 5.0, quindi Marshmallow potrebbe arrivare per i dispositivi taiwanesi presumibilmente verso dicembre. Lg si è posta su un percorso analogo a quello di Samsung, annunciando upgrade mensili all’ultima conferenza Black Hat di Las Vegas (agosto 2015) e l’azienda sudcoreana è stata la prima realtà di terze parti in assoluto a distribuire Marshmallow ai propri utenti, partendo il 19 ottobre dalla Polonia. Sony, infine, nei mesi scorsi ha sì rilasciato patch per problemi specifici, come Stagefright, ma non ha ancora comunicato un piano organico per i prossimi aggiornamenti.