Android 2.3.3 e le versioni precedenti hanno un grave problema di sicurezza. Ricercatori dell’Università di Ulm (Germania) hanno spiegato che i dispositivi Android connessi a reti Wi-Fi libere e aperte, come quelle che si possono trovare in alcuni esercizi commerciali, applicano impropriamente un protocollo di autenticazione chiamato ClientLogin che è vulnerabile.

Il 99,7 percento dei dispositivi Android è finora stato esposto ad attacchi mirati, che possono sottrarre dati sensibili per l’accesso a calendari, contatti e altre informazioni degli utenti Google. I ricercatori hanno testato questo problema su una serie di versioni di Android e dispositivi differenti, concludendo che la versione 2.3.4 è la meno interessata dal problema, in quanto l’autenticazione di calendario e contatti passa su una connessione sicura, mentre la sincronia con Picasa non è ancora protetta.

Per usare ClientLogin, un’applicazione deve richiedere un token (authToken) di autenticazione al servizio Google per trasmettere nome dell’account e password attraverso una connessione HTTPS. “L’authToken di ritorno può essere usato per qualsiasi richiesta successiva all’API di servizio ed è valido per un massimo di 14 giorni. Tuttavia se questo authToken è usato per richieste di invio su una connessione HTTP non criptata, un malintenzionato può facilmente intercettare l’authToken. Poiché l’authToken non è legato ad alcuna sessione o informazione specifica del dispositivo, un malintenzionato può usarlo per accedere a qualsiasi dato personale che è stato reso disponibile attraverso l’API di servizio”.

Questo significa che un malintenzionato può modificare o cancellare contatti, eventi sul vostro calendario o foto private.

###old888###old

Google ha dichiarato che il team di Android sta lavorando per rendere sicura la sincronia con Picasa. I ricercatori ritengono che per far fronte al problema “basterebbe usare un protocollo di autenticazione più sicuro come per esempio OAuthApps (al posto di ClientLogin)”.

Inoltre, Google potrebbe ridurre il periodo di validità del token e “rigettare le domande di ClientLogin provenienti da connessioni http insicure”. Gli utenti possono invece disattivare l’auto-sincronia per evitare che i dati di login vengano trasmessi automaticamente su reti Wi-Fi aperte.