La maggior parte dei dispositivi che lavorano con Android sarebbero vulnerabili agli attacchi esterni, volti al tracciamento delle credenziali digitali inserite dagli utenti per accedere ai bacini di dati sensibili presenti nei server di Google. È quanto scoperto dai ricercatori dell’Università tedesca di Ulm.
Secondo l’ indagine , la fragilità deriverebbe dall’ implementazione problematica del protocollo di autenticazione ClientLogin , utilizzato nella versione 2.3.3 e precendenti del sistema operativo mobile di Mountain View. Dopo l’immissione delle credenziali valide per Google Calendar, Twitter, Facebook e altri account, l’interfaccia di programmazione recupera la stringa inserita che, poi, invia in chiaro. Dal momento che l’ autenticazione del codice può essere usata per un massimo di 14 giorni per tutte le richieste, i potenziali ladri d’identità potrebbero approfittarne per varcare la soglia di spazi privati ottenendola indebitamente.
In dettaglio, il team di ricerca ha testato il bug sulle versioni Android 2.1 (Nexus One), 2.2 (HTC Desire, Nexus One), 2.2.1 (HTC Incredible S), 2.3.3 (Nexus One), 2.3.4 (HTC Desire, Nexus One), 3.0 (Motorola XOOM) e sulle applicazioni originali di Google Calendar, Google Contacts e Gallery. Android 2.3.3 appare il sistema più vulnerabile , con il 99,7 per cento degli smarthphone che segnalano il difetto operativo. La versione 2.3.4 sembra leggermente più sicura : “Calendar” e “Contacts” utilizzano una connessione sicura, mentre la sincronizzazione con Picasa per quanto riguarda Google Immagini è ancora fragile.
Google ha predisposto una patch per Android 2.3.4 sebbene anche questa versione, insieme probabilmente ad Android 3, continua a mostrare dei problemi con i web album di Picasa che trasmetterebbero dati sensibili su canali non cifrati. Secondo le stesse statistiche di Mountain View, il 99 per cento dei gadget provvisti di Android sono vulberabili agli attacchi esterni .
Come spiegato dai ricercatori, le implicazioni generate da tale fragilità colpirebbe i dati sensibili come nomi, numeri telefonici, indirizzi, informazioni private, email. Oltre al mero furto, i ladri potrebbero apportare delle modifiche sugli account delle vittime inconsapevoli, cercando di ottenere materiale confidenziale utile ai propri scopi.
Cristina Sciannamblo
Ti potrebbe interessare
17 mag 2011