Last Updated on January 12, 2011

In una intervista a Bloomberg, il presidente e fondatore di Trend Micro, Steve Chang ha dichiarato come, a suo avviso, l’Androide Verde di Mountain View, presenta una maggiore vulnerabilità ai virus informatici rispetto al gioiello di Casa Apple.

Il motivo è presto detto: il sistema operativo di Big G è open-source, e come tale, lascia maggiore libertà agli sviluppatori di indagare gli internals del codice, e di conseguenza renderebbe più facile lo sviluppo di codice malevolo.

Android is open-source, which means the hacker can also understand the underlying architecture and source code

Per contro, il processo di certificazione delle applicazioni da parte del Gigante di Cupertino è più rigoroso, e di conseguenza è più difficile sviluppare ed immettere in circolazione software malevolo:

We have to give credit to Apple, because they are very careful about it. It’s impossible for certain types of viruses to operate on the iPhone

A mio avviso l’affermazione andrebbe interpretata e calata nel contesto: è vero che l’Androide è (relativamente) open source ma è altrettanto vero che in condizioni normali le applicazioni limitano l’accesso alle risorse del dispositivo e richiedono comunque l’autorizzazione all’utente. In effetti le prime due forme virali rilevate per Android nel corso del 2010 (Trojan-SMS.AndroidOS.FakePlayer e Geinimi) seguivano questo schema per compiere le azioni illecite. Questo non significa che possiamo dormire sogni telefonici tranquilli (la superficialità dell’utente è sempre in agguato: quanti utenti vanno a controllare se un lettore multimediale ha necessità del permesso di accedere agli SMS), ma è comunque un livello di sicurezza appositamente inserito da Google, avendo concepito il sistema operativo in maniera tale che gli utenti debbano garantire e comunque confermare esplicitamente il minor numero possibile di permessi alle applicazioni.

Naturalmente il discorso decade per i telefoni rootati ovvero per i quali l’utente ha ottenuto l’accesso root perché in tal caso le applicazioni riescono ad accedere direttamente alle risorse del dispositivo senza l’esplicito consenso dell’utente. Deve tuttavia essere chiaro che questa operazione viene fatta a rischio e pericolo per l’utente, che vede decadere qualsiasi forma di garanzia (ma si sa, i disclaimer possono ben poco contro gli smanettoni).

Per contro, oramai anche per la piattaforma di Cupertino esistono store paralleli in cui gli utenti di dispositivi jailbreakati possono acquisire applicazioni al di fuori del controllo di qualità della Mela. In questo caso, è ovvio, il livello di sicurezza decade notevolmente (ed il jailbreak della Mela è più frequente dell’operazione di root dell’Androide se l’utente vuole fare normali operzioni, ad esempio utilizzare una qualsiasi periferica bluetooth che altri dispositivi effettuano normalmente), per cui in definitiva non mi sentirei di essere così  perentorio sulla maggiore cagionevolezza informatica dell’Androide nei confronti della mela.

Naturalmente i soliti maligni vedono dietro queste affermazioni una spinta indiretta ad avvicinare l’utenza Android a prodotti commerciali di sicurezza, per la vendita dei quali, il colosso giapponese prevede un largo incremento nel corso del 2011. L’utenza Android ha meno vincoli di applicazioni commerciali in quanto la natura open source del sistema operativo (ed i minori vincoli dello store, si veda a questo proposito l’affaire relativo alla rimozione di VLC) si riflette in una maggiore disponibilità di applicazioni open.

Non mi soffermerei troppo su queste illazioni, ribadendo però il concetto che la sicurezza parte dall’utente: in questo caso significa non effettuarea operazioni strane (ad esempio l’accesso ai privilegi di root), né installare applicazioni di provenienza incerta nei dispositivi utilizzati abitualmente (soprattutto se per motivi di lavoro), controllando sempre e comunque i permessi delle applicazioni.

I giochi li possiamo fare su muletti… Almeno fino a quando Vmware ed LG non usciranno con la prima piattaforma mobile virtuale.