Palo Alto (USA) – PalmOS è di nuovo nei guai sul fronte sicurezza. Quelli di @Stake, che lo scorso settembre avevano rivelato come le password cifrate su Palm erano decifrabili facilmente, ora sono andati oltre, avvertendo che le password su PalmOS non servono a proteggere alcunché.
L’applicazione di sicurezza del sistema operativo Palm fornisce una funzionalità di lockout del sistema che rende il device inutilizzabile fino all’inserimento della giusta password. La stessa password viene utilizzata per impedire che i dati vengano visionati da un utente non autorizzato. Si tratta di meccanismi pensati per impedire che in caso di furto, o comunque di utilizzo abusivo, quanto archiviato nel palmare rimanga oscurato.
“Ma nel sistema – accusano quelli di @Stake – si trova una backdoot che offre la possibilità di entrare nel sistema anche se la funzionalità di lockout è attivata. Questo consente ad un utente non autorizzato di effettuare molti diversi comandi compreso, ma non solo, recuperare la password di sistema e dunque avere accesso a tutte le informazioni archiviate sul dispositivo”.
Il problema sta nel fatto che l’utente PalmOS è spinto a ritenere sicura la password e che la backdoor è ben nota, essendo pensata in origine come veicolo per l’assistenza per intervenire su malfunzionamenti o riprogrammazioni. Secondo @Stake chiunque, con un portatile e un collegamento seriale, può in pochi minuti entrare in possesso delle informazioni archiviate sul palmare.
Altro problema sta nel fatto che, fino a questo momento, Palm ha scelto di non commentare il warning ufficiale di @Stake. Indiscrezioni sembrano dare per certo che la nuova versione di PalmOS, la 4.0, in arrivo nei prossimi mesi, possa contenere la correzione al problema..