Falla di sicurezza Android

Alcuni ricercatori dell’ Institute of Media Informatics dell’Università di Ulm in Germania hanno scoperto questa falla di sicurezza presente su i tutti sistemi android.

Questa vulnerabilità di sicurezza è presente solo al momento di connettersi a una rete WiFi aperta. In pratica il protocollo utilizzato fino alla versione Android 2.3.3 invia in chiaro l’authentication token che potrebbe essere intercettato e usato da un malintenzionato per accedere ai vostri dati personali di twitter, facebook e google calendar. Per non rischiare di subire questo attacco o passate alla versione 2.3.4 o superiore di Android (disponibile per pochi modelli ancora) oppure per adesso non è il caso di connettersi automaticamente alle Wi-Fi aperte che non si conoscono, perchè ogni volta che lo fate qualcuno potrebbe rubarvi le credenziali di accesso che durano ben 14 giorni. Non mi è ancora chiaro se tramite il token riescono anche a reperire le vostre password, spero di no perchè altrimenti significa che nel token c’è la password e (già mi pare strano) oltretutto in chiaro (non in md5 o in qualsiasi altro hash) quindi lo escluderei.
Molti dei dispositivi Android sul mercato non sono stati aggiornati alla versione 2.3.4 e tanti ancora sono fermi alla 2.2.2. Questo problema di sicurezza è abbastanza grave anche perchè la procedura per reperire il token è molto semplice. Sembra che Mountain View ridurrà i tempi di permanenza in rete delle informazioni delle credenziali di accesso. Spero che escano delle patch anche per chi ha degli smartphone con android più datati.

Tutta colpa di Android?

Because the authToken can be used for up to 14 days in any subsequent requests on the service, attackers can exploit them to gain unauthorized access to accounts

No, secondo me non è solamente colpa di Android che ha fixato comunque questo problema già nella versione 2.3.4. Rimane una gran bufera mediata per screditare il sistema Android che appartiene a Google. Pochi giorni fa è stato scoperto che Facebook era affetto da un problema simile in cui gli inserzionisti potevano utilizzare il l’authentication token per accedere ai dati degli utenti ed è un bug presente dal 2007 e che non è ancora stato risolto. La colpa in parte si è di Android OS, ma anche dei sistemi che permettono l’accesso senza https, senza oAuth20 etc… insomma devono migliorare in tutti quanti e per il bene degli utenti speriamo che lo facciano in fretta!
Comunque sia ultimamente fate attenzione alle notizie che gettano fango sulle aziende. Queste notizie contengono solo mezze verità e mettono in evidenza solo alcuni lati del problema per creare danno di immagine su una determinata azienda.

Link vulnerabilità Android

99% of Android phones leak secret account credentials
Android devices are vulnerable to password theft

L'articolo ti è stato utile?

Condividilo sulla tua rete di contatti Twitter, sulla tua bacheca su Facebook. Diffondere contenuti che trovi rilevanti aiuta questo blog a crescere. Grazie!

7 thoughts on “Falla di sicurezza Android

  1. Pingback: ZicZac.it, clicca qui e vota questo articolo!

    1. evilripper Post author

      lol credo che il file di wordpress che genera gli xss utilizza l’Excerpt… inoltre come ti avevo detto non voglio che mi si prendano gli articoli e mi si ripubblichino in automatico per intero! 😀

      1. Emanuele

        Ah, te l’avevo già chiesto? Si vede che soffro il problema… e tu scontenti un lettore invece di trovare tecnicamente una soluzione! 😛
        Bloccare chi non vuoi che grabbi i tuoi articoli, spesso, non è difficile dopo averli identificati. Se necessario ti spiego… per far evitare che WP usi l’excerpt anche per i feed esisterà sicuramente un plugin! 😛
        Ciao,
        Emanuele

      2. evilripper Post author

        lol in verità mi conviene anche che mi visualizzate il sito a me per via del virgilio banner che va ad impressions!! 😀

      3. Emanuele

        Io però quando vedo feed segati, al contrario, finisco per non seguirli perché non ho tempo. Sappilo…
        Ciao,
        Emanuele

Comments are closed.