Addio, Android

La settimana scorsa mi trovavo con un paio di hacker ed esperti di sicurezza a una conferenza a Brooklyn, quando ho tirato fuori il mio telefono Sony.

"Oh! Il giornalista usa Android. Molto sicuro!" ha detto un tizio vicino a me, con un tono sarcastico.

Ho ignorato il suo sarcasmo, anche se, scrivendo di sicurezza informatica, sapevo che in fondo aveva ragione. A distanza di qualche giorno, la sua battuta sembra essere stata in qualche modo una premonizione.

Come forse avete già saputo, un ricercatore che si occupa di sicurezza ha rivelato lunedì scorso che una serie di bug dentro il codice sorgente di Android hanno permesso ad alcuni hacker di spiare alcuni utenti tramite un semplice messaggio multimediale.

Se avete paura che il vostro dispositivo Android possa essere vulnerabile a questi bug, conosciuti come Stagefright, bé, ho brutte notizie per voi. È molto probabile che lo sia. In effetti, qualcosa come 950 milioni di telefoni rischiano di esserlo.

"È bene considerare tutti i dispositivi vulnerabili," ha detto Joshua Drake, il ricercatore che ha trovato i bug

Non sapevo niente di Stagefright la settimana scorsa, ovviamente, ma sapevo che la sicurezza di Android non era una favola. Ho ignorato lo stesso quel tizio e il suo sarcasmo perché, onestamente, sono un fanboy e un bastian contrario.

Mi sono opposto ai prodotti Apple fin da adolescente, quando Apple cercava di propinarmi con la forza le sue app (ah, iTunes) ogni volta che volevo solo guardarmi il trailer di un film su Quicktime. Non mi è mai piaciuto il giardino recintato di Apple e il loro approccio da "teniamo-tutto-sotto-controllo-noi" e provo un certo disprezzo per la stupida venerazione isterica da "mio dio c'è una nuova iCosa in uscita" dei fanboy di Apple.

Quando è uscito il primo iPhone, qualche anno fa, ho giurato in innumerevoli discussioni infuocate con amici e sconosciuti che non avrei mai comprato un iPhone. Da allora, ho posseduto soltanto telefoni Android. Prima un paio di HTC, ora un telefono Sony.

Bene, mi sono stufato. E sono pronto a passare al lato oscuro.

Non fraintendetemi. Per molti aspetti, Android è fantastico. Amo la sua etica open source e la libertà di personalizzazione che lascia. Ma non ne posso più per una sola semplice, ma fondamentale, ragione.

Google ha pochissimo controllo sugli aggiornamenti dei programmi, e gli utenti Android sono in balia dei gestori e dei produttori telefonici quando si tratta di ricevere aggiornamenti o nuove versioni del sistema operativo. Per esempio, ci sono voluti più di sei mesi perché Sony mettesse Android 5.0 Lollipop sui telefoni Xperia Z, nonostante avesse promesso un rinnovo molto più rapido quando Google ha reso disponibile Lollipop. Tanto per fare un paragone, quando Apple ha rilasciato iOS 8 a settembre dell'anno scorso, l'aggiornamento è stato immediatamente disponibile per tutti gli utenti, persino quelli che avevano un iPhone 4S del 2011.

Come dice l'esperto di sicurezza Cem Paya, è stata una scelta cosciente che Google ha fatto quando ha creato Android. Paya lo definisce un patto alla Faust: "cedere il controllo su Android per ottenere un pezzo di mercato contro iPhone." In altre parole, Google è stata felice di lasciare che i gestori infilassero i loro bloatware sui loro telefoni Android in cambio di una possibilità per sfidare Apple sul mercato della telefonia mobile. Il patto dava ai gestori e ai produttori il controlo sulle loro uscite di Android, rendendo per Google impossibile imporre dall'alto gli aggiornamenti di sistema.

Alcuni gestori e produttori sono migliori di altri, va detto, ma in linea di massima fanno tutti schifo quando si tratta di aggiornamenti. Non c'è altro modo per dirlo, davvero.

Citando il tweet (ora cancellato) di Nicholas Weaver, altro ricercatore che si occupa di sicurezza, "Vi immaginate come sarebbe se le patch di Windows dovessero passare attraverso Dell e il vostro ISP prima di arrivare a voi? E per di più a nessuno dei due frega qualcosa? Ecco, questo è Android."

Nel 2013, la American Civil Liberties Union ha sporto denuncia alla Federal Trade Commission sostenendo che i maggiori gestori wireless mettessero gli utenti in una condizione di vulnerabilità davanti a hacker e cyber-criminali, perché non imponevano gli aggiornamenti di sicurezza fondamentali sui telefoni dei loro clienti.

Le cose sono un po' cambiate da allora. Google ora ha un po' più di controllo su certi aggiornamenti grazie ai Google Play Services, un insieme di API che vivono all'esterno dell'OS, e che si aggiornano automaticamente in sordina. Ma la sicurezza non è migliorata granché. Ad esempio, Google stessa si è rifiutata di aggiustare un problema di sicurezza che riguardava il 60 percento degli utenti di Android, che usavano le versioni più vecchie dell'OS, qualche mese fa. (Quel bug non è stato sistemato per quella fascia di utenti, ed è probabile che non lo sarà mai.)

Come ha detto una delle persone dietro la denuncia alla FTC, dopo due anni gli aggiornamenti di Android "fanno ancora schifo."

E qui comincia la parte peggiore della storia. Drake ha informato Google di alcuni dei bug Stagefright per la prima volta il 9 aprile (ne ha poi segnalati altri all'inizio di maggio). Google, dal canto suo, ha risposto velocemente e ha inviato patch ai produttori quasi immediatamente.

Allora tutto ok, no? Invece no, perché, come ho detto prima, ora dipende dai gestori e dai produttori consegnare quelle patch a voi.

Lasciatemelo dire di nuovo: le patch sono pronte a partire. Sono state approvate da Google mesi fa. Ma non le vedrete ancora per settimane (se tutto va bene) o mesi (più probabilmente) o mai (una possibilità drammaticamente concreta) a seconda di quanto è vecchio il vostro telefono—se è troppo vecchio i produttori smettono semplicemente di tenerlo in considerazione—e di quanto apatici e svogliati siano i vostri produttori e gestori telefonici nei confronti degli aggiornamenti. Data la natura open di Android, mettere a disposizione gli aggiornamenti, come ha comunicato Android Central, è "una faccenda imprevedibile e caotica" che richiede il "contributo di un sacco di parti."

Ecco qual è la differenza fondamentale tra Android e iPhone. Quando c'è un bug su iOS, Apple fornisce una patch e può imporre un aggiornamento per tutti gli utenti iPhone appena questo è pronto, senza domande.

Quando succede la stessa cosa con Android, Google fornisce la patch e poi… solo dio sa quando le AT&T, Verizon, HTC e Sony del mondo decideranno che la cosa è seria abbastanza da essere presa in considerazione, magari solo perché avere un OS aggiornato è considerato un vantaggio sulla competizione). Che cavolo, persino i telefoni Nexus che sono proprietà di Google e su cui la compagnia ha pieno controllo, non hanno ancora avuto le patch per Stagefright.

Che cosa dovreste fare allora, se avete un telefono Android? Solo voi potete deciderlo. Non posso dirvi cosa fare della vostra vita, ma posso elencarvi le alternative.

Potete tenere il vostro telefono Android con la versione di Android che il vostro gestore o produttore ha deciso di mettere sul telefono, e ricevere gli aggiornamenti di sicurezza con settimane di ritardo, se non mai (se avete un Nexus la situazione è migliore, ma chi può dire se Google continuerà a produrre i Nexus in futuro).

O potete mettere mano al vostro telefono e installarci sopra l'eccellente e più veloce sistema operativo basato su Android che si chiama CyanogenMod. È una buona alternativa, ma non è facile installare CyanogenMod, e gli aggiornamenti per certi telefoni dipendono dal lavoro di volontari, quindi, anche in questo caso, potrebbe darsi che non arrivino tanto presto.

O, come ultima opzione, potete rinunciare, scegliere Apple e comprarvi un iPhone.

Con buona pace del vecchio me stesso, che mi odierebbe, ho intenzione di scegliere quest'ultima possibilità.