Va bene, inizierò con la domanda e poi elaborerò un po 'di seguito. È:
Perchè il produttore mondiale di sistemi operativi per smartphone non Apple, Google, ha ancora non adottato un modello diretto di distribuzione degli aggiornamenti di sicurezza per Android, invece di attenersi all'attuale , ovviamente, l'approccio profondamente errato di affidarsi a produttori di telefoni e operatori wireless per testarli rapidamente, approvarli e distribuirli? Quanto sarebbero sostanziali gli ostacoli tecnici nello spostamento di Android nel modello di aggiornamento diretto se Google volesse sinceramente farlo?
Quindi, ieri sono emerse alcune notizie non positive riguardo al divertente set Stagefright di bug per la sicurezza dei componenti media player in Android. Innanzitutto alcuni nuovi difetti annunciati in lo stesso componente sembra estendere l'ambito dei telefoni Android interessati a praticamente tutti quelli che sono stati realizzati e amp; venduto. In secondo luogo, ci sono apparentemente ancora più difetti nello stesso componente che è stato divulgato a Google e che sono in preparazione per l'annuncio pubblico a breve, compresi alcuni che avranno un'etichetta "critica". Non ho familiarità con la scena della sicurezza di Android, ma questo sembra certamente essere considerato l'evento di sicurezza più importante che Android abbia dovuto affrontare finora.
Naturalmente, la scoperta di vulnerabilità terribili, su qualsiasi piattaforma, porta sempre alla domanda successiva: "Quando verrà riparato il mio dispositivo?" Sfortunatamente, il modo in cui le cose funzionano ora con gli aggiornamenti della sicurezza di Android - Google li spinge a produttori e operatori hardware, che devono acconsentire a loro e essere disposti a distribuire gli aggiornamenti agli utenti: la stragrande maggioranza dei 1 miliardi + Gli utenti Android possono aspettarsi solo una delle due risposte:
- Per i più fortunati: saranno mesi. (Questo report , anch'esso collegato in precedenza, riporta una stima che di solito impiega da 9 a 18 mesi le patch per ottenere da Google il compito di testare e approvare varie autorizzazioni al telefono di un utente. Ora, si assume che con Stagefright che sarà affrettato fino a un certo punto, ma ancora ...)
- Per gli sfortunati: mai. (Alcuni produttori di Android forniscono a malapena qualsiasi servizio di aggiornamento post-vendita per i loro telefoni, altri sembrano avere un limite di tempo di supporto non scritto di forse un anno, o forse due, dopo di che l'utente è fuori al freddo.)
Tutto ciò solleva la domanda: perché Google non può fare solo quello che fanno le aziende che rendono i sistemi operativi per altri computer - PC e server - per esempio-- e bypassare OEM e service provider per fornire aggiornamenti di sicurezza direttamente a l'utente?
Ora, ovviamente, ci sono probabilmente sia aspetti tecnici che aspetti di business e di questo. Sto pensando più alla linea degli aspetti tecnici (anche se ammetto che a volte i due sono meno facili da separare gli uni dagli altri di quanto si possa pensare). In che modo potrebbe passare a un processo di Google emettere direttamente gli aggiornamenti di sicurezza, ma non necessariamente spedire direttamente qualsiasi aggiornamento che implicasse qualcosa oltre a correggere le vulnerabilità della sicurezza - causare problemi di compatibilità hardware e / o software che potrebbero essere così fastidioso per gli utenti, i produttori di telefoni, i gestori e Google stesso che quel fattore potrebbe superare il valore di ottenere queste patch molto più rapidamente e molto, molto più ampiamente di quanto non siano in grado di fare con il sistema attuale? O è davvero una schiacciata a favore di Google che andrà alla distribuzione diretta, come il 99% dei giornalisti e degli esperti di sicurezza? i commentatori sembrano pensare?