A cura di Adrian Ludwig e Melinda Miller, Android Security

Rendiamo disponibile il terzo report annuale sulla sicurezza di Android – Android Security Year In Review – che esamina il lavoro che abbiamo fatto nell’anno appena trascorso per proteggere oltre 1,4 miliardi di utenti Android e i loro dati.

Il nostro obiettivo è semplice: tenere al sicuro i nostri utenti. Nel 2016 abbiamo migliorato le nostre capacità di eliminare app dannose, realizzato nuove feature per la sicurezza in Android 7.0 Nougat e abbiamo collaborato con i produttori dei dispositivi, i ricercatori e gli altri membri dell’ecosistema Android.

Proteggere gli utenti dalle app potenzialmente dannose

E’ importante per noi proteggere proteggere gli utenti dalle app potenzialmente dannose che possono mettere a rischio dati o dispositivi. In quest’ottica, dobbiamo continuamente cercare modi per identificare e fermare queste app e prevenire quelle che non sono ancora nate.

Negli anni, abbiamo realizzato vari sistemi per affrontare queste minacce. In cima alla lista ci sono l’analisi delle app, che controlla in modo costante le applicazioni in cerca di comportamenti poco sicuri, e il servizio Verifica app che esegue regolari controlli sui dispositivi degli utenti.

Quando questi sistemi identificano delle app potenzialmente dannose, avvisiamo gli utenti e suggeriamo di valutare bene il download di una certa app o addirittura di rimuoverla dal dispositivo. Teniamo regolarmente sotto controllo le minacce e miglioriamo i nostri sistemi nel tempo. I dati dello scorso anno fanno emergere questi miglioramenti: Verifica app ha effettuato 750 milioni di controlli quotidiani nel 2016, 450 milioni in più dell’anno precedente, permettendoci di ridurre la media delle installazioni di app potenzialmente dannose in tutti i 50 paesi dove Android è usato maggiormente.

Google Play si conferma lo spazio da cui gli utenti Android possono scaricare le app in maggiore sicurezza. Le installazioni di app potenzialmente dannose da Google Play sono diminuite in quasi tutte le categorie:

Nel 2016, solo lo 0,05% dei dispositivi che ha scaricato app esclusivamente da Google Play conteneva app potenzialmente dannose; c’è stata quindi una diminuzione dallo 0,15% del 2015.

In ogni caso, c’è ancora del lavoro da fare per i device, specialmente per quelli che installano app da molte fonti. Anche se solo sullo 0,71% di tutti i dispositivi Android c’erano app potenzialmente dannose installate alla fine del 2016, c’è stato un leggero aumento dall’inizio del 2015, quando il dato era di circa 0,5%. Grazie agli strumenti realizzati e alle nozioni acquisite nel 2016, pensiamo di poter ridurre il numero di dispositivi che con app potenzialmente dannose nel 2017, a prescindere da dove vengano scaricate.

Nougat: nuove protezioni per la sicurezza

Lo scorso anno abbiamo inserito una serie di nuove protezioni in Nougat e abbiamo proseguito il nostro lavoro per rafforzare la sicurezza del kernel Linux.

Lavorare insieme per mettere in sicurezza l’ecosistema Android

Condividere le informazioni sulle minacce alla sicurezza tra Google, i produttori di dispositivi, la comunità di ricerca e altri aiuta a tenere al sicuro tutti gli utenti di Android. Nel 2016, le maggiori collaborazioni hanno avuto luogo nell’ambito del programma di aggiornamenti mensili per la sicurezza e nella partnership con la comunità di ricerca sulla sicurezza.

Gli aggiornamenti per la sicurezza vengono regolarmente indicati come pilastro della sicurezza sui dispositivi mobile, e c’è un motivo. Abbiamo lanciato il nostro programma di aggiornamenti mensili per la sicurezza nel 2015, a seguito della pubblica divulgazione di un bug in Stagefright, per aiutare ad accelerare la risoluzione delle vulnerabilità di sicurezza su tutti i dispositivi di vari produttori. Questo programma ha subito una notevole espansione nel 2016:

Abbiamo aggiornato con cadenza mensile i dispositivi Pixel e Nexus nel corso del 2016 e siamo lieti di vedere che i nostri partner investono in maniera significativa in questi aggiornamenti. Ma c’è ancora molto lavoro da fare per migliorare. Circa la metà dei dispositivi in uso alla fine del 2016 non ha ricevuto un aggiornamento per la sicurezza della piattaforma nell’anno precedente.

Lavoriamo per aumentare gli aggiornamenti per la sicurezza dei dispositivi attraverso l’ottimizzazione del nostro programma sull’aggiornamento della sicurezza al fine di rendere più semplice per i produttori rilasciare aggiornamenti sulla sicurezza e A/B updates. Ciò rende più facile per gli utenti far uso concreto di questi aggiornamenti.

Per quanto riguarda la ricerca, il nostro programma Android Security Rewards è cresciuto rapidamente: i ricercatori hanno ricevuto quasi un milione di dollari per le loro segnalazioni nel 2016. Allo stesso tempo, abbiamo lavorato a stretto contatto con varie aziende che si occupano di sicurezza per identificare e risolvere i problemi che mettevano a rischio i nostri utenti. Apprezziamo il grande lavoro fatto dai partner di Android, i ricercatori esterni e i team in Google che sono alla guida dei progressi dell’ecosistema nell’ambito della sicurezza nel 2016. Il nostro lavoro però non finisce qua. Tenere al sicuro gli utenti richiede attenzione e sforzo costanti. Non vediamo l’ora di vedere nuovi progressi e nuove scoperte nel 2017 e oltre.