Android vecchio o non si aggiorna? Forza le patch di sicurezza

Il supporto è finito? Come installare patch recenti, usare firewall e Custom ROM per proteggere Android quando il produttore smette di aggiornare

Esiste una data di scadenza invisibile stampata sul retro di ogni smartphone. Non riguarda l'usura della batteria o la rottura dello schermo, ma la decisione unilaterale del produttore di interrompere il supporto software. Ci si ritrova con un dispositivo performante, pagato magari centinaia di euro, che improvvisamente viene etichettato come insicuro o obsoleto solo perché non riceve più l'ultima versione del sistema operativo. Le app bancarie iniziano a dare avvisi, le nuove funzionalità non arrivano e si diffonde il timore di vulnerabilità esposte.

Android però non è un sistema chiuso come altri. La natura open source della piattaforma permette di estendere la vita operativa del telefono ben oltre i limiti imposti dal marketing di Samsung, Xiaomi o Google. Non serve necessariamente essere ingegneri informatici per riprendere il controllo: si può agire su più livelli, dal semplice aggiornamento dei componenti modulari fino alla sostituzione completa del sistema operativo.

LEGGI ANCHE: come aggiornare Android su telefoni vecchi e non supportati

Tipologie di aggiornamenti: non solo patch di sicurezza

Non tutti gli aggiornamenti Android sono uguali. Esistono principalmente tre categorie che vale la pena conoscere.

• Gli aggiornamenti annuali del sistema operativo, come il passaggio da Android 14 ad Android 15, introducono nuove funzioni, miglioramenti grafici e ottimizzazioni.
• Poi ci sono le patch di sicurezza, rilasciate mensilmente, che si concentrano su correzioni di vulnerabilità.
• Infine, gli aggiornamenti di sistema di Google Play, introdotti con Android 10, permettono di aggiornare componenti specifici del sistema senza coinvolgere il produttore del telefono. Quest’ultima opzione è una manna dal cielo per chi ha dispositivi più vecchi non proprio recenti, perché bypassa il ritardo dei produttori.

Gli aggiornamenti di sistema di Google Play, grazie al progetto Mainline, aggiornano moduli critici come il framework multimediale, senza bisogno di un aggiornamento completo del firmware. Un esempio famoso è la vulnerabilità Stagefright del 2015, che avrebbe potuto essere risolta più velocemente se questo sistema fosse stato già in uso. Oggi, con Android 15, i componenti aggiornabili tramite Google Play sono ancora di più, rendendo il processo più rapido e diretto.

LEGGI ANCHE: come tenere aggiornato Google Play Services su Android

Forzare gli aggiornamenti di sistema Google Play

Molti utenti confondono gli aggiornamenti del firmware (quelli che cambiano la versione di Android o l'interfaccia utente) con gli aggiornamenti di sicurezza modulari. Da Android 10 in poi, grazie a un'architettura chiamata Project Mainline, Google ha separato parti critiche del sistema operativo dal controllo dei produttori. Anche se il telefono non riceve più le patch mensili di Samsung o Motorola, Google continua a inviare correzioni vitali direttamente tramite i suoi server.

Questi pacchetti non arrivano sempre in automatico o tempestivamente sui vecchi device. Bisogna intervenire manualmente:

• Accedere alle Impostazioni del telefono.
• Cercare la sezione Sicurezza o Stato sicurezza (la posizione varia in base al brand).
• Individuare la voce Aggiornamento di sistema Google Play. Attenzione: è diversa da "Aggiornamento di sicurezza" (che dipende dal produttore).
• Premere su verifica ed effettuare il download se disponibile, quindi riavviare.

Ripetere l'operazione più volte dopo il riavvio è fondamentale, perché spesso gli aggiornamenti sono sequenziali e ne servono diversi per allineare il sistema all'ultima versione disponibile. Questo protegge la gestione dei certificati, la connettività e i media framework senza toccare il cuore del sistema.

Isolare le app con Firewall e DNS cifrati

Se il kernel del sistema non può essere aggiornato per chiudere le falle a livello basso, la strategia deve cambiare: bisogna impedire che le app sfruttino quelle falle per comunicare all'esterno. Su un dispositivo non supportato, il controllo del traffico dati diventa la prima linea di difesa.

La soluzione più efficace non è installare antivirus pesanti che rallentano hardware datato, ma usare un firewall. RethinkDNS è lo strumento open source che consigliamo per questo scopo. Combina un firewall firewall granulare con un resolver DNS sicuro. Una volta attivo, permette di vedere esattamente quale server sta contattando ogni singola app. Si possono bloccare le connessioni di app che non dovrebbero andare online (come la calcolatrice, la galleria o vecchi giochi offline) e impostare filtri DNS che bloccano alla fonte malware e traccianti noti.

Per chi preferisce un'alternativa storica e molto stabile, NetGuard rimane un punto di riferimento. Scaricando la versione completa da GitHub o F-Droid, si ottiene il blocco degli annunci pubblicitari a livello di host, risparmiando dati e batteria, risorse preziose su smartphone con qualche anno sulle spalle.

Aggiornare WebView e Browser manualmente

Il punto di ingresso principale per i malware su vecchi Android è il browser web. Il componente di sistema chiamato Android System WebView gestisce il rendering delle pagine web anche all'interno di altre app (come quando si apre un link da Facebook o Gmail). Se questo componente è obsoleto, l'intero telefono è a rischio.

Non bisogna mai affidarsi al browser preinstallato dal produttore se questo non viene aggiornato. Bisogna disabilitarlo e puntare su fork di Chromium mantenuti attivamente dalla comunità.

Cromite è attualmente il successore spirituale di Bromite e rappresenta la scelta migliore per chi cerca un motore Chromium aggiornato con ad-block integrato e patch di privacy, supportando anche versioni di Android più datate rispetto a Chrome ufficiale. Mantenere Cromite o Firefox (versione Fennec su F-Droid) come browser predefinito chiude la porta alla maggior parte degli attacchi basati sul web.

Rimuovere il Bloatware senza Root

Spesso i vecchi telefoni sono rallentati da app di sistema inutili che girano in background e che non si possono disinstallare. Se non si vuole invalidare la garanzia o rischiare procedure complesse, seguiamo la rotta di navigaweb utilizzando Shizuku combinato con un gestore di pacchetti.

Shizuku è un'applicazione geniale che sfrutta le API di debug wireless di Android per concedere permessi speciali ad altre app, senza bisogno di root. Una volta configurato Shizuku, si può usare un'app come Canta. Questo permette di disinstallare o "congelare" qualsiasi applicazione di sistema, anche quelle bloccate dal produttore. Rimuovere i servizi inutili di Bixby su Samsung o i servizi traccianti su Xiaomi alleggerisce il carico sulla CPU e riduce la superficie di attacco.

Installare una Custom ROM: la nuova vita

Quando le patch software non bastano più, l'unica via per avere una versione di Android recente (come Android 14 o 15 su dispositivi nati con Android 9) è sostituire il sistema operativo. Le Custom ROM sono versioni di Android sviluppate dalla comunità, pulite da software spazzatura e costantemente aggiornate.

LineageOS: la base solida

La LineageOS è la distribuzione più famosa e supportata. Offre un'esperienza stock, molto simile a quella dei Google Pixel, ma estremamente leggera. Installarla richiede lo sblocco del bootloader (procedura che cancella i dati) e l'uso di una Recovery personalizzata, ma garantisce aggiornamenti di sicurezza settimanali o mensili per anni, anche su dispositivi dimenticati dai produttori.

DivestOS: privacy e sicurezza avanzata

Per chi possiede dispositivi specifici e cerca una sicurezza superiore, DivestOS è una fork di LineageOS orientata alla "bonifica" del dispositivo. Rimuove componenti proprietari che spesso contengono backdoor, blocca i tracker a livello profondo e, su alcuni modelli supportati, permette di ribloccare il bootloader mantenendo le chiavi di firma personalizzate. Questo offre un livello di sicurezza fisica paragonabile al firmware originale, ma con un software libero e aggiornato.

I produttori e la lotteria degli aggiornamenti

Non tutti i produttori sono uguali quando si tratta di aggiornamenti. I dispositivi Google Pixel sono i primi a ricevere le patch, spesso entro un paio di settimane dal rilascio. Samsung segue a ruota, con una politica solida che garantisce fino a cinque anni di aggiornamenti di sicurezza per i modelli più recenti. Altri, come OPPO o Xiaomi, variano: alcuni dispositivi ricevono aggiornamenti regolari, altri vengono abbandonati dopo un paio d’anni. I produttori minori, soprattutto quelli cinesi, spesso lasciano i dispositivi al loro destino, creando un falso senso di sicurezza con date di patch aggiornate ma senza il codice necessario.

Questa disparità è un po’ come una lotteria: compri un telefono sperando che il produttore non ti lasci a piedi. Per questo, se la sicurezza è una priorità, meglio puntare su marchi con una buona reputazione in termini di supporto, come Samsung, Oppo, Xiaomi, Google, Motorola, Honor.

Purtroppo quello degli aggiornamenti è l'aspetto critico degli smartphone di marche sconosciute, che se anche vendono un ottimo telefono a prezzi vantaggiosi, poi mancano negli aggiornament di sicurezza.

LEGGI ANCHE -> Perchè Android non si aggiorna e come fare

Cosa succede se non aggiorni

Un dispositivo senza patch di sicurezza recenti è come un castello di carte in una tempesta. Le vulnerabilità non corrette possono essere sfruttate da malware o app truffaldine per accedere a dati sensibili, come password o informazioni bancarie. Secondo una ricerca di Bitdefender, nel 2022 circa il 15% degli utenti Android utilizzava ancora Android 10, una versione non più supportata, esponendosi a rischi significativi. Come avviene con il sistema del PC, non aggiornare Android non significa solo perdere nuove funzioni, ma mettere a repentaglio la sicurezza del dispositivo.

Anche se il tuo telefono funziona ancora bene, senza aggiornamenti diventa un bersaglio facile. E no, non basta avere un antivirus: anche il migliore non può coprire tutte le vulnerabilità di un sistema operativo obsoleto. Se il tuo dispositivo non riceve più aggiornamenti, valuta di sostituirlo o di passare a una ROM personalizzata, ma solo se sei a tuo agio con un po’ di smanettamento tecnico.

Limiti da conoscere

Prima di procedere con modifiche radicali come l'installazione di una Custom ROM, è bene avere un quadro chiaro della situazione per evitare sorprese. Ecco cosa considerare:

• App Bancarie e SPID: Molte app finanziarie rilevano lo sblocco del bootloader o la presenza di permessi di root e smettono di funzionare. Esistono metodi per nascondere le modifiche (come Play Integrity Fix), ma è una battaglia continua che richiede aggiornamenti costanti.
• Qualità fotografica: Sugli smartphone di fascia alta (Samsung S series, Pixel, Huawei), la fotocamera originale usa algoritmi proprietari complessi. Passando a una Custom ROM si perdono questi algoritmi e le foto potrebbero risultare di qualità inferiore, specialmente in notturna, a meno di non usare porting della Google Camera (GCam).
• Chiamate VoLTE: Su alcuni dispositivi, le ROM personalizzate potrebbero non supportare le chiamate su rete 4G (VoLTE) a causa della mancanza di driver IMS proprietari. Questo significa che il telefono passerà al 2G/3G durante le chiamate, reti che in molti paesi stanno venendo dismesse.
• Processori a 32-bit: Se il dispositivo è antecedente al 2016, potrebbe avere un'architettura a 32-bit. Il supporto per questi processori sta terminando anche nel mondo open source (molti browser moderni non li supportano più). In questo caso, il dispositivo è meglio impiegarlo per usi offline come lettore musicale o console retro.

Per finire, se ti capita di usare Malwarebytes Antivirus Mobile, installalo. È una delle poche app di sicurezza che fa davvero il suo dovere senza appesantire il telefono, offrendo un livello extra di protezione contro app sospette. La uso da anni sul mio vecchio dispositivo e non mi ha mai deluso, soprattutto su telefoni che non ricevono più aggiornamenti ufficiali.