Leonardo Musumeci

[:it]Traduttore informatico, localizzazione siti Web, Localizzazione Software[:en]Computer Science Translator, WebSite Localization, Software Localisation[:]

Traduzioni inglese-italiano

Falla di sicurezza potrebbe interessare il 99% degli smartphone Android Security hole could affect 99% of Android smartphones

Mag 20, 2011

Il post seguente è stato tradotto per gentile concessione di Naked Security

Android smartphone Secondo alcuni ricercatori tedeschi, il 99% dei dispositivi Android potrebbe essere a rischio a causa di una vulnerabilità che potrebbe consentire a soggetti non autorizzati di curiosare sul vostro Google Calendar ed i vostri contatti.

La scoperta dei ricercatori dell’Università di Ulm, porta alla luce un serio problema di privacy e sottolinea la difficoltà che molti possessori di smartphone Android sembrano affrontare nel mantenere i loro sistemi operativi aggiornati.

Secondo il paper di Bastian Konings, Jens Nickels e Florian Schaub, dal titolo “Intercettare AuthTokens in the Wild: l’insicurezza del protocollo ClientLogin di Google”, in Android 2.3.3 e precedenti, le app del ​​calendario e dei contatti trasmettono informazioni “in chiaro” via HTTP e recuperano un authentication token (authToken) da Google.

Ciò significa che c’è la possibilità per i criminali informatici di intercettare il traffico WiFi e rubare l’authToken che lo smartphone ha appena generato.

Sniffing di un authToken di Wireshark

Visto che gli authToken possono essere utilizzati per diversi giorni anche per richieste successive, gli hacker possono sfruttarli per accedere a quelli che dovrebbero essere servizi ​​e dati privati, come il vostro calendario online. Inoltre, gli authToken generati non sono legati a un particolare telefono, di conseguenza possono essere facilmente utilizzati per spacciarsi per un dispositivo diverso.

Bleah!

Lo scenario è un vero problema se si utilizza un hotspot WiFi in chiaro (come quelli comunemente disponibili nelle hall degli alberghi, aeroporti, o coffee shop all’angolo della strada).

Secondo i ricercatori, Google ha risolto il problema con Android 2.3.4. Ma questo è il problema. Quante persone usano ancora le vecchie versioni di Android OS?

Uso della piattaforma Android OS

Circa il 99% degli utenti di Android sono vulnerabili, in quanto non hanno aggiornato almeno alla versione 2.3.4 (nome in codice “Gingerbread”).

Gingerbread Purtroppo non è sempre possibile aggiornare, visto che dipende dal produttore del cellulare e dal carrier che fornisce l’aggiornamento over the air.

C’è una vasta gamma di smartphone Android in circolazione e laddove Apple sia in grado di rilasciare un singolo aggiornamento IOS per iPhone e iPad, le cose non sono così semplici per gli utenti di Google. Questa frammentazione lascia, inevitabilmente, i dispositivi Android vulnerabili a problemi di sicurezza.

Fortunatamente Google sembra essere consapevole di questo problema e dice che lavorerà a più stretto contatto con produttori e carrier per garantire che, in futuro, gli utenti possano ricevere gli ultimi aggiornamenti.

Ma cosa dovresti fare se fossi il proprietario di un sistema con Android?

Il mio consiglio sarebbe quello di effettuare l’aggiornamento all’ultima versione, se possibile.

Inoltre, non utilizzare reti WiFi aperte, visto che le comunicazioni potrebbero non essere adeguatamente protette. Se siete preoccupati di quest’ultimo problema di sicurezza sarebbe saggio connettersi a Internet via 3G dal proprio smartphone, piuttosto che tramite connessioni WiFi pubbliche non cifrate.

Utilizzare 3G potrebbe incidere sul vostro piano tariffario, ma è molto meno probabile che le vostre comunicazioni vengano intercettate.

Fonte: Security hole could affect 99% of Android smartphones Android smartphone

According to German researchers, 99% of Android devices might be at risk from a vulnerability which could allow unauthorised parties to snoop on your Google Calendar and Contacts information.

The discovery by the University of Ulm researchers brings to light a serious privacy issue, and underlines the difficulty that many Android smartphone owners appear to face keeping their operating systems up-to-date.

According to the paper by Bastian Könings, Jens Nickels, and Florian Schaub, entitled “Catching AuthTokens in the Wild: The Insecurity of Google’s ClientLogin Protocol”, in Android 2.3.3 and earlier the Calendar and Contacts apps transmit information “in the clear” via HTTP, and retrieve an authentication token (authToken) from Google.

That means that there’s the potential for cybercriminals to eavesdrop on WiFi traffic and steal the authToken that your smartphone has just generated.

Wireshark sniffing an authToken

As authTokens can be used for several days for subsequent requests, hackers can exploit them to access what should be private services and data – such as your web-based calendar. Furthermore, it turns out that the generated authTokens are not linked to a particular phone, so they can be easily used to impersonate a handset.

Yuck!

The scenario is a real problem if you use an unencrypted WiFi hotspot (such as those commonly available in hotel lobbies, airports or at the coffee shop on the corner of your street).

According to the researchers, Google has fixed the problem in Android 2.3.4. But there’s the rub. Just how many people are still running older versions of the Android OS?

Android OS platform usage

Approximately 99% of Android users are vulnerable, as they haven’t updated to at least version 2.3.4 (codenamed “Gingerbread”).

Gingerbread

Unfortunately it’s not always possible to easily upgrade the version of Android running on your phone as you are very dependent on your mobile phone manufacturer and carrier providing the update to you over the air.

There is a huge range of Android smartphones out there, and whereas Apple can issue a single iOS update to patch iPhones and iPads, things aren’t so simple for Google’s users. This fragmentation inevitably leaves Android devices open to security problems.

Fortunately, Google seems to be aware of this pain, and says it will work more closely with manufacturers and carriers to ensure users can receive the latest Android updates in the future.

But what should you do if you’re a concerned Android owner?

My recommendation would be to upgrade to the latest version of Android if at all possible.

Furthermore, do not use open WiFi networks as your communications may not be properly protected. If you’re worried about this latest security issue you might be wise to connect to the internet via 3G from their smartphone rather than using unencrypted public WiFi connections.

Using 3G may eat into your data plan, but it’s far less likely that your communications are being snooped upon.

Source: Security hole could affect 99% of Android smartphones

Articoli correlati

Bruce Schneier Traduzioni inglese-italiano

[:it]Violare Instagram per ottenere pasti gratis in cambio di recensioni positive[:en]Hacking Instagram to Get Free Meals in Exchange for Positive Reviews[:]

Apr 3, 2019
Bruce Schneier Traduzioni inglese-italiano

[:it]Tracciare persone senza il GPS[:en]Tracking People Without GPS[:]

Dic 20, 2017
Traduzioni inglese-italiano

[:it]Della ripudiabilità e coercizione[:en]On Deniability and Duress[:]

Feb 22, 2017

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

You missed

Android Sicurezza Smartphone

[:it]Come spegnere i motori di migliaia di auto da remoto[:]

Apr 27, 2019
Bruce Schneier Traduzioni inglese-italiano

[:it]Violare Instagram per ottenere pasti gratis in cambio di recensioni positive[:en]Hacking Instagram to Get Free Meals in Exchange for Positive Reviews[:]

Apr 3, 2019
Android

Non muoverti e il malware per Android non farà danni

Mar 19, 2019
Android

pdf to word condivide oltre 360.000 documenti online

Mar 15, 2019