Mentre tutti continuano a preoccuparsi della questione LocationGate e del tracciamento degli utenti effettuato da tutti gli smartphone di ultima generazione, arriva un rapporto abbastanza allarmante circa la sicurezza di Android e più precisamente sull’impenetrabilità dei dati degli utenti che usano il sistema operativo mobile di Google.
Secondo quanto si può leggere su “The Register”, il 99% degli Android Phone è vulnerabile e soggetto ad exploit che potrebbero mettere a rischio le credenziali degli account utente. Tutta colpa di “un’implementazione impropria del protocollo di autenticazione conosciuto come ClientLogin“. Questo protocollo, che è presente in Android 2.3.3 e tutte le versioni precedenti dell’OS, tiene aperti gli account degli utenti per 14 giorni dando così la possibilità ad eventuali malintenzionati di rubare i token di accesso e prendere controllo degli account stessi.
“Dopo che un utente fornisce delle credenziali di accesso valide per Google Calendar, Twitter, Facebook e diversi altri account – si può leggere nel rapporto di “The Register” – l’interfaccia di programmazione genera un token di autenticazione che viene inviato in cleartext. Considerato che l’authToken può essere usato anche fino a 14 giorni per ogni successiva richiesta di accesso ai servizi, i malintenzionati potrebbero exploitarli per ottenere accessi non autorizzati agli account“.
Quel che è ancora più inquietante è che questo exploit può essere messo in atto utilizzando una semplice rete Wi-Fi non protetta e un trucco da quattro soldi: “Per collezionare gli authToken su larga scala, un malintenzionato può mettere in piedi un access point Wi-Fi con una SSID uguale a quella utilizzata dalle connessioni non cifrate di T-Mobile, attwifi, Starbucks, ecc.“, spiega il report. “In questo modo, il telefono con Android userà le impostazioni predefinite per connettersi a quella rete e sincronizzarsi, la sincronizzazione fallirà ma il malintenzionato avrà catturato i token di accesso“.
A quanto pare, Google si è già messa al lavoro per sistemare il problema ma la lentezza con cui i gestori telefonici gestiscono gli aggiornamenti degli smartphone potrebbe tenere i nostri smartphone “scoperti” a lungo. Al momento, dunque, la cosa più saggia da fare per proteggere i propri dati è usare solo connessioni Wi-Fi protette. State in campana!
[Via | Neowin – Photo Credits | osde8info]
#1Shutdown
mhmmm…
questo blog mi sembra un pò di parte cmq.. quando è uscito il problema su iphone si è cercato subito di calmare gli animi, quando esce qualcosa su android invece subito ad infierire..
Cmq… meglio non sapere chi ci ruba i dati che saperlo e fare finta di niente.. ( ogni riferimento è puramente casuale)
#2Applicazioni iPhone
Non mi meraviglia leggere queste cose e poi ultimamente google sembra usare i dati degli utenti come meglio crede…
#3Andrea Guida
sarà, ma qui Google non c'entra nulla, è solo una vulnerabilità…
#4Hiroc80
Ma di apple che controlla gli utenti tramite geolocalizzazione ne vogliamo parlare? E poi i device android con il 2.3.3 (ora 2.3.4 con vari bug risolti) si contano su una mano neanche…
#5Andrea Guida
ne abbiamo parlato abbondantemente :))
#6Daniel Mally
ma google non utilizza i dati, è stata una campagna mediatica pagata da facebook che trovate in qualche pagina precedente. comunque io mi collego solo a reti internet fidate e che conosco. speriamo bene anche perchè il wildire ha il 2.2.1, ma per il momento visto che uscirà il wildifire S gli aggiornamenti non saranno rilasciati peril momento. speriamo bene.
già facebook per colpa di errori suoi ha dato in mano agli inserzionisti migliaia e migliaia di credenziali degli account