Google Android, quanto di voi hanno uno smartophone con questo sistema operativo? Una ricerca pubblicata dall’inglese The Register (link in fondo al post) gela tutti i possessori di smartphone e tablet Android che pare siano vulnerabili nella misura del 99% di quelli che si trovano in circolazione. La vulnerabilità in questione dovrebbe consentire a malintenzionati di raccogliere ed utilizzare i token digitali memorizzati su un device dopo l’autenticazione dell’utente ad un servizio protetto da password.
“La debolezza deriva dall’applicazione impropria di un protocollo di autenticazione conosciuto come Android ClientLogin nelle versioni 2.3.3 e precedenti“, si legge nella relazione, citando la ricerca dell’Università di Ulm. “Dopo che un utente invia le credenziali valide per Google Calendar, Twitter, Facebook, o più altri conti, l’interfaccia di programmazione recupera un token di autenticazione che viene inviato in chiaro. Poiché il authToken può essere utilizzato per un massimo di 14 giorni in tutte le richieste sul servizio, gli hacker possono sfruttare a ottenere l’accesso non autorizzato ai conti“.
Google, che non ha ancora reagito ufficialmente ai risultati di questa ricerca, ha rilasciato una patch per il protocollo ClientLogin con Android 2.3.4 e Android 3.0, ma , come sottolinea The Register, solo l’1% dei dispositivi Android attualmente in esecuzione il codice aggiornato.
In pratica, se uno smartphone android si registra sotto una rete WiFi pubblica eventuali malintenzionati possono facilmente recuperare gli authToken e connettersi ai vari servizi utilizzando le login del malcapitato utente Android. Fortuna, una volta tanto, che in italia tutte queste reti WiFi gratuite in italia non ci sono!!
Per leggere la ricerca originale di The Register clicca qui
I commenti sono chiusi.