Claudio Tamburrino

Android, tappata la vulnerabilità WiFi

Pochi giorni per correggere la falla individuata nella cifratura dei dati di agenda e rubrica. Ora rimane solo da distribuire la patch a tutti

Roma - Google ha annunciato l'intenzione di cambiare la modalità di protezione dei dati personali custoditi sui dispositivi Android, e in particolare di agenda e rubrica, per cui gli esperti di sicurezza avevano da poco individuato un problema al momento della connessione ad una rete WiFi aperta.

Dopo la convocazione del Congresso degli Stati Uniti legata all'accesso ai dati di geolocalizzazione degli utenti, Google cerca di evitare ulteriori reprimende legate alla tutela dei dati personali, ma soprattutto vuole mostrare tutto il suo impegno sul fronte della sicurezza dei dispositivi per cui era stata tirata in ballo anche nell'ultimo studio dell'azienda anti-virus Kaspersky.

"Oggi stiamo distribuendo una correzione che risolve una potenziale falla che avrebbe, in alcuni situazioni, potuto permettere a parti terze di avere accesso ai dati di agenda e rubrica dell'utente"."Il fix - spiega il portavoce di Google - non ha bisogno di alcuna specifica azione da parte degli utenti, ma arriverà automaticamente nei prossimi giorni".
Il problema è legato a quello individuato solo venerdì scorso da alcuni ricercatori tedeschi e relativo al sistema di gestione dei token di autenticazione delle app da parte della piattaforma, e come questa interagisce con password e accesso degli utenti: diventa rilevante soprattutto quando il dispositivo agisce su una rete WiFi aperta e di fatto rende accessibili, ad un attacco neanche sofisticato, tali dati in un flusso non cifrato.

Il tutto, per la verità, era già stato risolto nelle versioni più recenti del SO, Gingerbread e Honeycomb, ma per i dispositivi Android permangono i ritardi di aggiornamenti legati alla frammentazione della piattaforma a seconda del produttore hardware che lo utilizza, per cui Mountain View ha dovuto pensare ad un approccio diverso.

Il problema dell'aggiornamento, peraltro, è stato affrontato anche nel corso dell'ultimo evento I/O: il googler Hugo Barra ha sottolineato che è in effetti una questione da risolvere e che si sta cercando un modo per farlo.

Claudio Tamburrino
Notizie collegate
  • Digital LifeNext Issue Media, l'edicola per AndroidEsordio per il punto vendita digitale che vuole offrire un'alternativa a iTunes. Grossi nomi alleati lo sostengono. Anche se per il momento è disponibile solo su Galaxy Tab e con solo 7 riviste
  • TecnologiaAndroid, niente cifratura per i dati sensibiliIl sistema operativo mobile di Mountain View sarebbe vulnerabile agli attacchi portati da servizi remoti troppo curiosi. Colpa del sistema di autenticazione che non protegge alcune informazioni prima di trasmetterle. Una patch solo per la 2.3.4
  • SicurezzaKaspersky: Android come Windows?Malware sempre più mobile e aumentati gli attacchi mirati. Il successo e l'apertura dell'OS mobile di Google, secondo l'azienda russa, ne fanno la vittima prescelta dai malintenzionati
14 Commenti alla Notizia Android, tappata la vulnerabilità WiFi
Ordina
  • La cosa che dà fastidio è proprio questa; basta scrivere: "Android vulnerabile come Windows" ... e giù 300 commenti pieni di trollate.
    Se invece si scrive: "risolta in pochi giorni la vulnerabilità di Android" ... ecco che spariscono tutti i troll!

    Il che fa nascere seri dubbi sul genere umano ...
    non+autenticato
  • Risolta in pochi giorni?
    Significa che è stata risolta?

    No, significa che VERRÀ risolta in pochi giorni.
    Non si sa quanti.
    Ma qualcuno mi dovrebbe spiegare questo mistero: Google ha iniziato a distribuire un aggiornamento, ma gli utenti non avranno bisogno di scaricare nulla, tutto verrà fatto sul server. Allora mi chiedo: Google a chi sta distribuendo questo aggiornamento?

    Ma rimane ancora da sistemare la questione di picasa.

    Infine, ma questo riguarda Punto Informatico, mi piacerebbe sapere cosa c'entra il Wi-Fi con il fatto che le password viaggiano in chiaro.
    ruppolo
    33034
  • - Scritto da: ruppolo
    > Risolta in pochi giorni?
    > Significa che è stata risolta?

    Dalle informazioni che ho io (e sono autorevoli) Google ha già apportato la correzione, tanto da ottenere elogi in merito alla rapidità e questo grazie anche al fatto che la "patch" è puramente server-side (ergo, attendere non ha senso).

    Certe vaccate, evitate di diffonderle. Per non parlare che sarebbe cosa buona e giusta che iniziaste ad attingere da fonti più autorevoli ed affidabili e non dal topolino di turno.

    Che poi qualcuno abbia detto che Google distribuisce correzioni, si vede o che ha letto male o che a sua volta è rimasto vittima di disinformazione.
    non+autenticato
  • - Scritto da: Anonymous
    > Dalle informazioni che ho io (e sono autorevoli)
    > Google ha già apportato la correzione, tanto da
    > ottenere elogi in merito alla rapidità e questo
    > grazie anche al fatto che la "patch" è puramente
    > server-side (ergo, attendere non ha
    > senso).
    >
    > Certe vaccate, evitate di diffonderle. Per non
    > parlare che sarebbe cosa buona e giusta che
    > iniziaste ad attingere da fonti più autorevoli ed
    > affidabili e non dal topolino di turno.
    E' giusto segnalare vulnerabilità, di chiunque siano: serve anche a mettere pressione alle aziende che devono rimuoverle.
    Però la notizia non può servire per dare la stura a mille assunzioni, spesso insostenibili davanti al puro buon senso o alla valutazione tecnica.

    Per esempio, trollare come ieri sulla necessità di un ANTIVIRUS per tutelare Android dalla vulnerabilità mi ha fatto cadere le braccia (e non solo), sottolineando che non esiste un diffuso desiderio di essere tutti più sicuri, ma di denigrare gli altri SPERANDO che non lo siano.

    Durante le guerre mondiali, i fanti disperati in trincea sospiravano di sollievo se la pallottola in arrivo risparmiava loro e colpiva il soldato vicino, ma NON perché il commilitone fosse morto. "Fraternité" non l'hanno scritto a cas,o nella rivoluzione francese che ha deposto i monarchi a favore del popolo.
    non+autenticato
  • - Scritto da: ruppolo
    > Risolta in pochi giorni?
    > Significa che è stata risolta?
    >
    > No, significa che VERRÀ risolta in pochi giorni.
    > Non si sa quanti.
    > Ma qualcuno mi dovrebbe spiegare questo mistero:
    > Google ha iniziato a distribuire un
    > aggiornamento, ma gli utenti non avranno bisogno
    > di scaricare nulla, tutto verrà fatto sul server.
    > Allora mi chiedo: Google a chi sta distribuendo
    > questo
    > aggiornamento?
    >
    > Ma rimane ancora da sistemare la questione di
    > picasa.
    >
    >
    > Infine, ma questo riguarda Punto Informatico, mi
    > piacerebbe sapere cosa c'entra il Wi-Fi con il
    > fatto che le password viaggiano in
    > chiaro.

    la vulnerabilita' e' piuttosto di google non di android...
    in pratica il problema lo hai se ti sniffano il token di autentificazione via cattura pacchetti.
    siccome via wifi protetta non puoi catturare i pacchetti di altri connessi il problema ti capita se la wifi non e' protetta e uno ne crea una con lo stesso nome di quella che ti connetti spacciandola per quell'altra.

    sinceramente io non mi collego nemmeno col pc a wifi non protette in ogni caso il cookie di gmail da mi fa trovare loggato anche se cambio ip e anche se cambio la password.

    se devi trollare trolla su google direttamente non su android ruppoloA bocca aperta
    e ti do anche ragione sta volta!
  • Quindi SSH, VPN e altre decine di protocolli e algoritmi di cifratura esistono solo grazie alle reti Wi-Fi non protette? Di colpo i milioni di Km di rete Internet sono divenuti non intercettabili? Ah però...
    ruppolo
    33034
  • - Scritto da: ruppolo
    > Quindi SSH, VPN e altre decine di protocolli e
    > algoritmi di cifratura esistono solo grazie alle
    > reti Wi-Fi non protette? Di colpo i milioni di Km
    > di rete Internet sono divenuti non
    > intercettabili? Ah però...

    Ruppolo, fai il bravo. E' ovvio che la cifratura in linea è antecedente il WiFi, ma il problema si pone in maniera più evidente sulle reti wireless, visto che non hai bisogno di fare tapping che è complicato e richiede mezzi, competenze ed occasioni, mentre col WiFi ti basta un PC con la schedina e un po' di pazienza.
    non+autenticato
  • no l'hanno risolta con una modifica server-side, quindi non ti servono nemmeno gli aggiornamenti
    non+autenticato
  • - Scritto da: collione
    > no l'hanno risolta con una modifica server-side,
    > quindi non ti servono nemmeno gli aggiornamenti
    Perché la vulnerabilità era legata a specifici aggiornamenti dal client al server google, per i servizi Calendar e Contatti (e Picasa, ancora in test della soluzione).
    Per fare un paragone con i PC Windows, come se la vulnerabilità fosse nata in Windows nella sincronia tra Outlook e MS Exchange: definirla vulnerabilità Windows sarebbe stato scorretto, se il problema poteva venir risolto dal lato Server Exchange.
    Ma tanto ieri l'importante era la macchina del fango. Triste
    non+autenticato
  • - Scritto da: ruppolo
    > Risolta in pochi giorni?
    > Significa che è stata risolta?
    Praticamente si. Dura la vita del rosicone, eh ruppolo?A bocca aperta
    Darwin
    5050
  • ieri la notizia della falla oggi dicono che il fix sarà disponibile tra pochi giorni e senza alcun intervento degli utenti. Chi ha paura di google? .... Ruppolo
    non+autenticato
  • no ruppolo ha ancora molte frecce al suo sicuro, soprattutto la frammentazione che, a detta sua, è un problema più grave dell'aidsA bocca aperta
    non+autenticato
  • - Scritto da: collione
    > no ruppolo ha ancora molte frecce al suo sicuro,
    > soprattutto la frammentazione che, a detta sua, è
    > un problema più grave dell'aids
    >A bocca aperta

    ruppolo ha la FEDE dalla sua, avrà sempre putta.... ops stron... hemm.. caxxa.... uff, frecce al suo arco
    non+autenticato