Nonostante Android stia diventando uno dei SO per smartphone più utilizzati, in questi giorni in un’università tedesca, degli esperti hanno scoperto una falla che permette di prendere dati personali di un utente. Gli ingegneri hanno trovato la vulnerabilità analizzando ClientLogin, un insieme di interfacce che permette l’autenticazione delle applicazioni Android.
Ma come si va incontro a questo rischio? Basta collegarsi ad una rete wireless priva di una password d’autenticazione, cioè una rete libera. In questo modo, nel momento in cui si inseriscono il proprio nome utente e password per accedere ai servizi di cui abbiamo bisogno, il ClientLogin riceve un token di autenticazione chiamato AuthToken. Il problema sta nel fatto che questo AuthToken resta valido per ben 14 giorni e quindi può essere facilmente intercettato se si opera in reti non protette come abbiamo precedentemente detto. In questo modo diventa davvero semplice per un malintenzionato riuscire ad impossessarsi di dati sensibili.
In un primo momento Google non aveva confermato la presenza di questa falla, dovuta ad una navigazione non protetta in HTTPS che anche i meno esperti saprebbero superare. Pare inoltre che molti servizi di Google come Calendar, Contatti e Picasa non richiedono una navigazione protetta.
La falla non è stata riscontrata nei dispositivi con versioni successive a Gingerbread 2.3.3. Il vero problema però sta nel fatto che in questo momento sono davvero pochi i dispositivi che hanno versioni successive, visto che gli aggiornamenti sono iniziati solo ad inizio Maggio.
Google ha comunque messo a disposizione nei suoi server una patch per arginare il problema. Fin’ora ha messo sotto chiave solo Calendar e gli indirizzi e-mail. Non ci resta che scaricare l’aggiornamento ed attendere per risvolti più concreti.
Mirko La Rocca