Buco nella sicurezza di Android

Google ha ammesso di lavorare sulla sistemazione di una falla di sicurezza su Android scoperta da un gruppo di ricercatori dell’Università di Ulma Germania. A causa di questa falla, con un piccolo trucco, un malintenzionato potrebbe rubare tutti i dati di login dei servizi come Google Calendar, Facebook, Twitter, Picasa e molti altri installati sul vostro dispositivo.

I ricercatori hanno scoperto che il sistema di autenticazione utilizzato da Android, usa dei token non cifrati, token che contengono i dati di accesso ai vari servizi. Il team ha anche spiegato come potrebbe fare un malintenzionato per rubare questi dati.

I dispositivi Android, per le connessioni Wi-Fi, come impostazione predefinita si connetto in maniera automatica ad una delle reti memorizzate. Di solito il controllo che viene fatto è quello del SSID che non è nient’altro che il nome che gli è stato assegnato dal creatore della stessa. Se qualcuno configura un access point Wi-Fi, dandogli il nome di access point considerato sicuro da parte di molti utenti, i loro dispositivi si connetterebbero in maniera automatica a questa rete. Appena connesse, le applicazioni inizierebbero una fase di sincronizzazione utilizzando l’access point del malintenzionato. In questo modo potrebbe scoprire tutti i dati login degli utenti.

Google ha fatto sapere che i suoi ingegneri stanno attualmente lavorando per correggere quanto prima questo problema e ha consigliato gli utenti a non utilizzare la connessione Wi-Fi per ora. Il team di ricercatori tedeschi, ha consigliato di abilitare i canali HTTPS per tutte le applicazioni che utilizzano il ClientLogin per l’autenticazione, mentre quelli che utilizzano l’OAuth dovrebbero essere più sicuri.