Da quando Google ha cominciato a pubblicare i bollettini mensili di sicurezza per Android nel 2015, non si era mai verificato un episodio simile a quello dello scorso luglio. Quel bollettino non riportava alcuna vulnerabilità. Tale evento insolito riflette un cambiamento radicale nell’approccio di Google alla gestione della sicurezza. Secondo fonti interne all’azienda, la mossa è legata all’adozione di un nuovo metodo di aggiornamento basato sul rischio reale delle vulnerabilità. Una strategia che privilegia gli interventi immediati sulle minacce concrete rispetto all’accumulo periodico di patch. Il centro di tale trasformazione è il cosiddetto Risk-Based Update System. Un modello che ridefinisce la logica dei bollettini mensili.
Novità per gli aggiornamenti di sicurezza di Google
In pratica, non tutte le vulnerabilità vengono più trattate con la stessa urgenza. Vengono pubblicate immediatamente solo quelle considerate ad alto rischio, ovvero quelle che possono essere sfruttate in attacchi reali o che fanno già parte di campagne di compromissione note. Tutte le altre correzioni vengono invece accorpate in aggiornamenti trimestrali, previsti nei mesi di marzo, giugno, settembre e dicembre. In tal modo, i bollettini trimestrali diventano il vero riferimento per la manutenzione della sicurezza. Mentre quelli mensili servono a gestire soltanto le emergenze.
Tale nuovo sistema presentato da Google porta vantaggi importanti anche ai produttori di smartphone. I quali sono spesso messi in difficoltà dalla pressione di rilasciare patch ogni mese. Soprattutto su dispositivi economici o venduti tramite operatori. Riducendo il numero di aggiornamenti urgenti da gestire, il modello basato sul rischio consente una distribuzione più regolare e rapida degli update, liberando risorse per concentrarsi sulle patch trimestrali più corpose.
Nonostante i benefici, emergono anche nuove criticità. Progetti come GrapheneOS sottolineano il rischio legato alla gestione dei bollettini privati. Pur essendo condivisi in modo sicuro con i produttori con mesi di anticipo, l’ampia diffusione delle informazioni tra ingegneri di tutto il mondo potrebbe teoricamente favorire fughe di dati e attacchi mirati prima della distribuzione delle patch.
