Falla di sicurezza potrebbe interessare il 99% degli smartphone Android

Il post seguente è stato tradotto per gentile concessione di Naked Security

Android smartphone Secondo alcuni ricercatori tedeschi, il 99% dei dispositivi Android potrebbe essere a rischio a causa di una vulnerabilità che potrebbe consentire a soggetti non autorizzati di curiosare sul vostro Google Calendar ed i vostri contatti.

La scoperta dei ricercatori dell’Università di Ulm, porta alla luce un serio problema di privacy e sottolinea la difficoltà che molti possessori di smartphone Android sembrano affrontare nel mantenere i loro sistemi operativi aggiornati.

Secondo il paper di Bastian Konings, Jens Nickels e Florian Schaub, dal titolo “Intercettare AuthTokens in the Wild: l’insicurezza del protocollo ClientLogin di Google”, in Android 2.3.3 e precedenti, le app del ​​calendario e dei contatti trasmettono informazioni “in chiaro” via HTTP e recuperano un authentication token (authToken) da Google.

Ciò significa che c’è la possibilità per i criminali informatici di intercettare il traffico WiFi e rubare l’authToken che lo smartphone ha appena generato.

Sniffing di un authToken di Wireshark

Visto che gli authToken possono essere utilizzati per diversi giorni anche per richieste successive, gli hacker possono sfruttarli per accedere a quelli che dovrebbero essere servizi ​​e dati privati, come il vostro calendario online. Inoltre, gli authToken generati non sono legati a un particolare telefono, di conseguenza possono essere facilmente utilizzati per spacciarsi per un dispositivo diverso.

Bleah!

Lo scenario è un vero problema se si utilizza un hotspot WiFi in chiaro (come quelli comunemente disponibili nelle hall degli alberghi, aeroporti, o coffee shop all’angolo della strada).

Secondo i ricercatori, Google ha risolto il problema con Android 2.3.4. Ma questo è il problema. Quante persone usano ancora le vecchie versioni di Android OS?

Uso della piattaforma Android OS

Circa il 99% degli utenti di Android sono vulnerabili, in quanto non hanno aggiornato almeno alla versione 2.3.4 (nome in codice “Gingerbread”).

Gingerbread Purtroppo non è sempre possibile aggiornare, visto che dipende dal produttore del cellulare e dal carrier che fornisce l’aggiornamento over the air.

C’è una vasta gamma di smartphone Android in circolazione e laddove Apple sia in grado di rilasciare un singolo aggiornamento IOS per iPhone e iPad, le cose non sono così semplici per gli utenti di Google. Questa frammentazione lascia, inevitabilmente, i dispositivi Android vulnerabili a problemi di sicurezza.

Fortunatamente Google sembra essere consapevole di questo problema e dice che lavorerà a più stretto contatto con produttori e carrier per garantire che, in futuro, gli utenti possano ricevere gli ultimi aggiornamenti.

Ma cosa dovresti fare se fossi il proprietario di un sistema con Android?

Il mio consiglio sarebbe quello di effettuare l’aggiornamento all’ultima versione, se possibile.

Inoltre, non utilizzare reti WiFi aperte, visto che le comunicazioni potrebbero non essere adeguatamente protette. Se siete preoccupati di quest’ultimo problema di sicurezza sarebbe saggio connettersi a Internet via 3G dal proprio smartphone, piuttosto che tramite connessioni WiFi pubbliche non cifrate.

Utilizzare 3G potrebbe incidere sul vostro piano tariffario, ma è molto meno probabile che le vostre comunicazioni vengano intercettate.

Fonte: Security hole could affect 99% of Android smartphones

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.