Android: i protocolli di sicurezza SSL e TSL non sono sicuri

26 ottobre 201241 commenti

Da una ricerca dell’Università di Hannover è emerso che i protocolli di sicurezza SSL e TSL potrebbero provocare delle falle di sicurezza nelle applicazioni per Android

Ancora una volta il tanto amato robottino verde è al pericolo e a dimostrarcelo sono proprio alcuni ricercatori che sono stati in grado di estrapolare dati sensibili degli utenti utilizzando delle applicazioni non sicure. Tra i dati estrapolati ci sarebbero anche codici di carte di credito o conti correnti bancari.

Ecco le dichiarazioni dei ricercatori:

Siamo stati in grado di ottenere informazioni su conti bancari, credenziali di pagamento per PayPal, American Express ed altri servizi di pagamento e, inoltre, abbiamo ottenuto informazioni anche su account Facebook, credenziali presso servizi di storage in cloud e caselle di posta elettronica”.

Ancora una volta i nostri smartphone non sono al sicuro anche se Android continua a migliorarsi con ogni nuova versione che viene rilasciata. Voi cosa ne pensate? Vi sentite al sicuro? Attendiamo i vostri commenti…

Loading...
  • AlessioRocco

    Nulla di nuovo, credo che oramai tutti sono consapevoli del fatto che nella rete nulla è al sicuro. Risolveranno anche questa, per ora l’unica cosa che rimane da fare è sperare… o spegnere i nostri dispositivi e rinunciare alla rete.

    • jellybelly

      o spegnere gli android e puntare sulla concorrenza…..

      • jelly un corno

        stai scherzando ma ios costa un botto mentre Windows Phone 8 è il sistema più brutto insieme a Windows 8 con le live tiles ma perpeciare va…

        • Angelo Ferrari

          ios costa un botto e non ha niente in più di android..

          • jelly un corno

            verissimo, però spero che microsoft affondi perchè a me le lives tile non piaciono, IMHO gusti personali :)

          • Loris

            E la madonna,una azienda deve fallire perchè non ti piace la sua grafica? Io invece spero che windows 8 diventi un ottimo so.

      • AlessioRocco

        Non è una questione di Ios (che ricordo avere lo stesso core *Unix like di Android) o Win, o qualunque altro SO. E’ il fatto che non esiste nel mondo dell’Informatica nulla che garantisca la sicurezza al 100%. In ogni prodotto ci saranno sempre buchi sulla sicurezza, la cosa importante è che le aziende e le community (nel caso dell’open-source) continuino a correggere le falle.

        • Niko

          Bravo Alessio! permettimi però di fare un’osservazione. Supponiamo che venga trovata una falla di sicurezza in una libreria “core”, magari utilizzata sia su IOS che su Android (è un ipotesi, giusto per fare un esempio).

          Sia Google che Apple corrono ai ripari ed applicano una patch e rilasciano un aggiornamento che raggiungerà quasi tutti i device della serie Nexus e quasi tutti gli iPhone (tranne probabilmente quelli più vecchi, tipo il Nexus One o i primi iPhone).

          E tutti gli altri? beh, se sono sul mercato da pochi mesi bene, *probabilmente* riceveranno l’update, se sono in giro da più tempo, invece, probabilmente rimarranno con la falla di sicurezza aperta.

          Ovviamente è possibile *quasi* sempre installare una rom aftermarket come CM che al 99% implementerà la patch, ma non è un’operazione alla portata di tutti.

          Il problema è dunque la frammentazione dei produttori Android, la somma dei device Nexus, di quelli “molto nuovi” e di quelli con rom aftermarket è ridicola rispetto alla massa totale di Android in circolazione (lo dimostrano i grafici di diffusione delle diverse versioni di Android), al contrario la percentuale di iPhone aggiornati è altissima perchè controllata da un unico produttore, quindi:

          quale è la piattaforma *DI FATTO* più sicura?

        • jellybelly

          allora mettiamola in questo modo, a inizio anno c’erano già 500.000 malware “compatibili” con android con un grow rate di oltre il 1000% (non oso immaginare oggi), su ios si potevano (si parlo al passato perché molti sono a oggi inefficaci) contare sulle dita di una mano, secondo te di chi è la colpa? certo non esiste la sicurezza al 100% ma esiste qualcosa che sia più sicuro, non vorrai dirmi che lasciare un biglietto da 500€ su un marciapiede sia sicuro come metterlo nella cassaforte nascosta dietro alla libreria…..

          ps. questo commento vale anche per gli altri che pensano che andorid sia sicuro.

          • Kilgore

            in soldoni, questa epidemia che colpirebbe Android, dove ha fatto danni? Tu conosci qualcuno che ha avuto problemi di malware e che ha un terminale Android?
            Io no, e i tre quarti di quelli che conosco hanno uno smartphone android.
            Una cosa sono le minacce preventive sparate dai vari siti di “sicurezza”, un’altra è la realtà.
            Con questo non voglio dire che i problemi non ci siano e non si debbano sottovalutare, ma da come la metti tu 500.000 malware che adesso a fine anno saranno 5.000.000 visto il grow rate.. non ci dovrebbe essere neanche un terminale immune da malanni…. non ti sembra una panzana?

          • jellybelly

            almeno informati prima di rispondermi, comunque se ti accorgi del malware vuol dire che è fatto male visto che dovrebbero essere programmi del tipo “ti rubo i dati o i soldi” magari c’è qualche filippino che ti sta fottendo tutto e non te ne accorgi nemmeno.

            Comunque ho usato windows per anni e non ho mai preso un virus, ma da qui a dire che i virus non esistono, o come dici tu “sembra una panzana”, bisogna proprio essere assoggettati.

            ps. sempre che tu non sia così fanboy fiero da non volere nemmeno provare a vedere oltre il tuo naso, ti invito a scrivere su un motore di ricerca a tua scelta le parole: “malware android”

            pps. avast mi ha già bloccato 3 programmini in una settimana che ho il galaxy note

          • Kilgore

            Guarda che di solito mi informo e anche senza fermarmi ai titoli. Scrivere su un motore di ricerca “malware Android” cosa prova? Che esiste il malware per Android? Questo nessuno lo mette in dubbio, quello che si mette in dubbio è il sensazionalismo che si usa a proposito senza approfondire la cosa, ma solo per sparare li una notizia che porterà tanti click al sito (tipo questo).
            E poi… che banalità!! Se fai un ricerca vengono fuori oltre 50 milioni di voci su “malware Android”.. ma se provi a scrivere “malware iPhone” per esempio.. magia!! più di 40 milioni anche qui!!
            Quindi, secondo il tuo ragionamento, cosa dovrei dedurre che già non so? Che ogni sistema è passibile di buchi e che sta nella testa dell’utente il miglior antivirus.
            Quindi è anche normale che se uno va a scarica da fonti non proprio ufficiali (dico per tutti gli OS) non si deve poi lamentare.
            A proposito, io ho un galaxy s2, qualcosa come 300 applicazioni istallate, cose utili ma anche le peggiori cavolate, tutta roba “original” da play store o da fonti ufficiali (XDA, Swipe Beta, Amazon App Store…) ho anche io Avast.. messo così, tanto per… e niente ma proprio niente che abbia mai creato un problema.
            Mi potresti dire quali sono questi 3 programmini che magari li provo.. se non li ho già?

          • Gio

            Tutti scaricati dal playstore i 3 programmi?

          • DeePo

            Tu sai che è tuttora possibile acquisire il controllo di un iPhone semplicemente facendogli visitare un’apposita pagina?

            http://www.zdnet.com/mobile-pwn2own-iphone-4s-hacked-by-dutch-team-7000004498/

            e guarda, secondo loro iOS è comunque un po’ più sicuro di Android (anche se, non avendoci provato, è un po’ pretestuoso da parte loro), ma avercelo 12cm, anziché 10cm non fa di chicchessia uno stallone!

        • Appunto: quindi Samsung e Co. che inizino a pensare a fare gli aggiornamenti x.x.1 (difficilmente visti per risolvere bug). E che Google cambi politica: l’ho detto e lo ripeto, se Open Source e “libertà” vuol dire anarchia e mancanza di “sicurezza” allora che se la tengano e inizino a far pagare Android obbligando le compagnie a dare garanzie agli utenti…

          • DeePo

            In verità le patch di sicurezza almeno Samsung le rilascia al volo… HTC non so, ma credo di si, Motorola ed LG non ci giurerei.
            Asus aggiorna tutto, sotto questo profilo sono encomiabili!

        • Gio

          Si ma le falle c’e chi le corregge dopo 4 anni come google mettendo adesso anti malware e chi lo fa subito…c’è differenza, altro che sconnettersi dalla rete.

      • il problema è di protocollo, sono vulnerabili tutte le applicazioni di qualsiasi OS, sistemi desktop compresi

        • amldc

          più che di protocollo, di implementazione del protocollo quindi non dipende dal sistema ma dallo specifico software e/o stack

        • Dubito che un protocollo come SSL sia vulnerabile su tutti i sistemi…

          • un protocollo è fatto apposta per essere uguali su tutti i sistemi -.-

          • Intendevo dire che è chiaro che il problema non è del protocollo, ma di android in particolare

        • elegos

          Il problema non è di protocollo, ma di quali sistemi di protezione utilizzi. Se un hacker si intromette nella comunicazione e sostituisce la chiave con una che riesce a leggere, sta all’applicazione notare che la stessa è stata cambiata.

      • Gio

        Esatto, non si capisce perché altri nel loro store sono l sicuro e google e android nel loro no…

    • elegos

      Android non deve risolvere un bel nulla, sta alle applicazioni di evitare nel handshaking di mandare dati atti a creare i certificati di lettura.

  • nik

    Android è un virus!!!

  • Pingback: Android: i protocolli di sicurezza SSL e TSL non sono sicuri | Notizie, guide e news quotidiane!()

  • StriderWhite

    Esattamente…

  • Federica

    Io vorrei comprare whatsapp cn paypal quandro scadrà la prova gratuita ma ho un pò paura

  • Antonio

    Io uso paypal con poche decine di euro quando scopriro’ che mi rubano i soldi la faro’ volare e cosa cazzo mi possono rubare da fb che gli possa interessare non lo so!!! E comunque io non ho nulla da nascondere…

    • amldc

      Atteggiamento piuttosto a rischio: non bisognerebbe prendere sottogamba la distribuzione dei propri dati personali. Già senza fb ad un mio conoscente è capitato che i propri dati personali venissero utilizzati da un truffatore per effettuare acquisti (ovviamente senza pagare), facendogli quindi rischiare grosse grane legali. Per quanto poi riguarda l’utilizzo abusivo del proprio account, bisognerebbe sempre ricordarsi che quando viene creato, si accetta la responsabilità di non farlo utilizzare a terzi e mantenere riservati i parametri di accesso.

    • Da FB ti rubano l’identità, che non vuol dire che “Non sei più tu”… Ti sei mia chiesto come fanno a fare le truffe con persone inesistenti? O comunque che poi si scopre non essere quelle accusate? Vanno a casa di Mario Pincopalla i Carabinieri e si scopre che non centra nulla con la truffa immobiliare… Mancanza di sicurezza? Sul server di una ditta che conosco (“tanto non ci serve il firewall mica andiamo nei siti porno”) hanno installato un sito fasullo per carpire i codici delle carte di credito… sai quelle mail che ti arrivano e che ti dicono che hai l’account bloccato e di rimettere i dati? Sai la faccia che ha fatto il proprietario quando sono arrivati i carabinieri? Dimostrare che non sapeva nulla non è stato così facile, meno male che il database con i codici non veniva salvato non sul server, ma reinoltrato in Bulgaria…
      Insomma, non sottovalutiamo nulla…

  • Scusate, ma SSL centra pure come “protocollo di sicurezza per la configurazione delle mail”? Lo chiedo perché per la ditta dove lavoro hanno modificato i DNS per la posta elettronica, è un protocollo che “in automatico” distingue la posta in entrata e in uscita (il POP e l’SMTP sono uguali infatti”… Ma serve per forza attivare il protocollo SSL, se è questo: si rischia qualcosa?

    • MattAndroid

      La vulnerabilità riguarda Android, se i programmatori che hanno implementato la connessione sicura SSL sul tuo posto di lavoro sono competenti non rischi nulla :)

      • Kilgore

        Sbagliato, la vulnerabilità non è di Android ma delle applicazioni (meglio gli sviluppatori) che usano in maniera “sufficiente” le librerie OpenSSL di Android (che poi sono le stesse che usa iOs, tanto per capirci)

    • Filippo

      Se l’alternativa é non attivare niente e comunicare in chiaro é sicuramente meno rischioso

  • DeePo

    Ha copiato anche lui il design dell’ìPad?

  • DeePo

    Giusto, post lievemente OT !!!

  • elegos

    Cosa ne penso, sinceramente? Siete dei buffoni. Riportate notizie parziali e senza neanche riportare l’articolo originale.

    Tanto per citare uno dei video che avete pubblicato di recente: “blululululululululululululululu”.

  • Gio

    Infatti il problema è di chi ha concepito android, cioè google…che solo dopo 4 anni si e degnata di mettere un anti malaware nel playstore, che se ne è fregata di tutto il resto…si svegliasse lei e i suoi supporter invece di parlare di programmatori.

  • Alessio

    Comunque si chiama TLS, non TSL…