Cristina Sciannamblo

Android, niente cifratura per i dati sensibili

Il sistema operativo mobile di Mountain View sarebbe vulnerabile agli attacchi portati da servizi remoti troppo curiosi. Colpa del sistema di autenticazione che non protegge alcune informazioni prima di trasmetterle. Una patch solo per la 2.3.4

Roma - La maggior parte dei dispositivi che lavorano con Android sarebbero vulnerabili agli attacchi esterni, volti al tracciamento delle credenziali digitali inserite dagli utenti per accedere ai bacini di dati sensibili presenti nei server di Google. È quanto scoperto dai ricercatori dell'Università tedesca di Ulm.

Secondo l'indagine, la fragilità deriverebbe dall'implementazione problematica del protocollo di autenticazione ClientLogin, utilizzato nella versione 2.3.3 e precendenti del sistema operativo mobile di Mountain View. Dopo l'immissione delle credenziali valide per Google Calendar, Twitter, Facebook e altri account, l'interfaccia di programmazione recupera la stringa inserita che, poi, invia in chiaro. Dal momento che l'autenticazione del codice può essere usata per un massimo di 14 giorni per tutte le richieste, i potenziali ladri d'identità potrebbero approfittarne per varcare la soglia di spazi privati ottenendola indebitamente.

In dettaglio, il team di ricerca ha testato il bug sulle versioni Android 2.1 (Nexus One), 2.2 (HTC Desire, Nexus One), 2.2.1 (HTC Incredible S), 2.3.3 (Nexus One), 2.3.4 (HTC Desire, Nexus One), 3.0 (Motorola XOOM) e sulle applicazioni originali di Google Calendar, Google Contacts e Gallery. Android 2.3.3 appare il sistema più vulnerabile, con il 99,7 per cento degli smarthphone che segnalano il difetto operativo. La versione 2.3.4 sembra leggermente più sicura: "Calendar" e "Contacts" utilizzano una connessione sicura, mentre la sincronizzazione con Picasa per quanto riguarda Google Immagini è ancora fragile.
Google ha predisposto una patch per Android 2.3.4 sebbene anche questa versione, insieme probabilmente ad Android 3, continua a mostrare deiproblemi con i web album di Picasa che trasmetterebbero dati sensibili su canali non cifrati. Secondo le stesse statistiche di Mountain View, il 99 per cento dei gadget provvisti di Android sono vulberabili agli attacchi esterni.

Come spiegato dai ricercatori, le implicazioni generate da tale fragilità colpirebbe i dati sensibili come nomi, numeri telefonici, indirizzi, informazioni private, email. Oltre al mero furto, i ladri potrebbero apportare delle modifiche sugli account delle vittime inconsapevoli, cercando di ottenere materiale confidenziale utile ai propri scopi.

Cristina Sciannamblo
Notizie collegate
66 Commenti alla Notizia Android, niente cifratura per i dati sensibili
Ordina
  • I commenti stanno diventando sempre piu' inutili. Onestamente non me ne puo fregare di meno di leggere le esternazioni di tifosi di questa o quella tecnologia.
    non+autenticato
  • sono d'accordo!

    anzi, quoto!

    però siamo OTSorride
  • - Scritto da: Luca Annunziata
    > sono d'accordo!
    >
    > anzi, quoto!
    >

    E scrivere titoli meno flame-scatenanti, no?

    > però siamo OTSorride

    è la regola da queste parti.
  • sisi, tutta colpa nostra

    andiamo da un consulente matrimoniale?
  • - Scritto da: Luca Annunziata
    > sisi, tutta colpa nostra
    >

    No no, sempre degli altri.
    E' la strada maestra per rimanere dei mediocri.

    > andiamo da un consulente matrimoniale?

    Ma non siamo mica sposati, vi usiamo per liberare i nostri istinti + bassi come con le amanti.
  • Per non essere offensivo, calunnioso e diffamante mi limito a dire che la traduzione dell'articolo originale e' pessima.
    non+autenticato
  • Tant'è che il problema sussiste solo su connessioni wifi non protette; ma a me non interessa, perché stamattina ho solo voglia di farmi tante sane risate leggendo i commenti di PI (maschile, mi raccomando, altrimenti fate arrabbiare L.Annunziata)
    non+autenticato
  • - Scritto da: NewTroll
    > Tant'è che il problema sussiste solo su
    > connessioni wifi non protette;

    Quindi i dati inviati via 3G e da lì su Internet, sono criptati?
    ruppolo
    33147
  • Ma non eri esperto in telecomunicazioni?A bocca aperta
    non+autenticato
  • - Scritto da: hermanhesse
    > Ma non eri esperto in telecomunicazioni?A bocca aperta

    Così credevo, ma magari mi sbaglio... vuoi rispondere tu?
    ruppolo
    33147
  • Ti rispondono sotto.
    Bastava cercare su Google.

    Se leggi qui:
    http://www.medialaws.eu/internet-usa-rubati-i-dati.../

    però capisci che 3des potrebbe non essere efficace (PS: la notizia è su iPAD ma potrebbe essere su qualunque dispositivo, da quello che mi è stato detto).

    Piuttosto, quando non c'è 3G e si passa a GSM cosa succede?A bocca aperta
    non+autenticato
  • - Scritto da: ruppolo

    > Quindi i dati inviati via 3G e da lì su Internet,
    > sono
    > criptati?

    ovvio, non lo sai che le reti mobili usano il 3des?
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: ruppolo
    >
    > > Quindi i dati inviati via 3G e da lì su
    > Internet,
    > > sono
    > > criptati?
    >
    > ovvio, non lo sai che le reti mobili usano il
    > 3des?

    Bene, quindi supponiamo che contatto il server Google che sta da qualche parte in USA. Sono a Udine col mio bel Android (ovviamente è un ipotesi...) e sono collegato con l'antenna 3G distante 1Km. I dati per quel chilometro sono criptati. Poi, per i restanti 15 mila chilometri (circa)?
    -----------------------------------------------------------
    Modificato dall' autore il 18 maggio 2011 13.17
    -----------------------------------------------------------
    ruppolo
    33147
  • Vedo che non ti sei ancora informato... Cavoli, ti rendi conto che o fai un lavoro completamente lontano dall'informatica (ma allora dovresti starti zitto quando si parla di cose tecniche) oppure è grave i danni che potresti fare...

    Ripeto, informati poi torna..
    non+autenticato
  • - Scritto da: J55
    > Vedo che non ti sei ancora informato... Cavoli,
    > ti rendi conto che o fai un lavoro completamente
    > lontano dall'informatica (ma allora dovresti
    > starti zitto quando si parla di cose tecniche)
    > oppure è grave i danni che potresti
    > fare...
    >
    > Ripeto, informati poi torna..

    Perché non mi informi tu?
    ruppolo
    33147
  • Sì. Anche sul tuo iPhone
    non+autenticato
  • Avanti signori....
    A voi le trollate e i soliti flame...

    Con la lingua fuori
    non+autenticato
  • è un problema reale ma:

    - è stato risolto su android 2.3.4 e honeycomb
    - funziona solo se i dati vengono trasmessi su reti wifi non protette
    non+autenticato
  • Penso si riferisse a ruppolo e company che tra poco arriverano quì a pontificare su iOS.
    Darwin
    5126
  • che c'hanno da pontificare? iOS li spia ogni istante e loro sono pure contentiA bocca aperta
    non+autenticato
  • - Scritto da: collione
    > che c'hanno da pontificare? iOS li spia ogni
    > istante e loro sono pure contenti
    >A bocca aperta
    E io spio iOS, così siamo pariA bocca aperta
    ruppolo
    33147
  • la vedo duraA bocca aperta
    non+autenticato
  • - Scritto da: collione
    > è un problema reale ma:
    >
    > - è stato risolto su android 2.3.4 e honeycomb

    Non per picasa.

    E ora dimmi: tra quanti giorni/settimane/mesi/anni/maipiù gli utenti potranno aggiornare?


    > - funziona solo se i dati vengono trasmessi su
    > reti wifi non
    > protette

    Non sapevo che le reti wifi proteggessero i dati che viaggiano per Internet...
    ruppolo
    33147
  • "Non sapevo che le reti wifi proteggessero i dati che viaggiano per Internet..."

    Ruppolo il virgolettato è di un'ignoranza informatica unica... Informati sul significato delle parole, poi ritorna..
    non+autenticato
  • Che te ne frega? Tanto “il bonifico a fine mese da Apple lo riceve lui, non tu”.
    non+autenticato
  • - Scritto da: J55
    > "Non sapevo che le reti wifi proteggessero i dati
    > che viaggiano per
    > Internet..."
    >
    > Ruppolo il virgolettato è di un'ignoranza
    > informatica unica... Informati sul significato
    > delle parole, poi
    > ritorna..

    Di quali parole?
    ruppolo
    33147
  • - Scritto da: ruppolo

    > Non sapevo che le reti wifi proteggessero i dati
    > che viaggiano per
    > Internet...

    le reti con wep e wpa attivo si
    non+autenticato