Android: il 99% dei dispositivi è potenzialmente a rischio

18 maggio 201122 commenti

Secondo quanto scoperto da alcuni ricercatori tedeschi dell’Università di Ulm, il 99% dei dispositivi Android in circolazione sarebbe minacciato da una grave vulnerabilità. Dalle informazioni rilasciate sembra infatti che tutti i terminali con Android 2.3.3, o versioni precedenti, applicchino impropriamente, connettendosi a reti WiFi, un protocollo di autenticazione chiamato ClientLogin che è vulnerabile.

Il servizio ClientLogin, utilizzato come protocollo di autenticazione da diversi servizi offerti da Google (come Google Contacts e Calendar) e da numerose applicazioni di 3° parti, ha infatti il limite di inviare i dati relativi all’autenticazione in chiaro, senza sfruttare ad esempio una connessione HTTPS.

Ciò comporta quindi la possibilità da parte di malintenzionati di captare con relativa facilità il token di autenticazione inviato dai servizi Google e utilizzarlo per appropriarsi dei dati personali. Un altro problema è poi la durata della validità di questi token, equivalente a 2 settimane.

“L’authToken di ritorno può essere usato per qualsiasi richiesta successiva all’API di servizio ed è valido per un massimo di 14 giorni. Tuttavia se questo authToken è usato per richieste di invio su una connessione HTTP non criptata, un malintenzionato può facilmente intercettare l’authToken.

“Poiché l’authToken non è legato ad alcuna sessione o informazione specifica del dispositivo, un malintenzionato può usarlo per accedere a qualsiasi dato personale che è stato reso disponibile attraverso l’API di servizio. Ciò significa che un utente malintenzionato può avere pieno accesso al calendario, ai contatti, eventi o foto private con la possibilità di cancellarli o modificarli.”

Stando ai ricercatori, l’unica versione al riparo da questa falla, dove sarebbe tappata in parte, è la 2.3.4. Pertanto viene raccomandato di aggiornare a quest’ultima, se possibile, oltre ad evitare le reti Wi-Fi aperte e disabilitare la sincronizzazione automatica quando ci si connette a reti aperte.

Via, 2

  • Luca Sandròun

     Due considerazioni: 
    1) Nessuno ci obbliga ad acquistare il telefono
    2) La privacy COMUNQUE non esiste, e siamo noi stessi a metterla in gioco anche qui su questo forum, su facebook, su twitter, dappertutto. Il problema della privacy NON è collegata al telefono (STRUMENTO) ma al mondo del web, del cloud, e compagnia bella. Il telefono non è altro che l’ennesimo strumento che ci fa “tuffare” in questo mare digitale, dove l’informazione è tanto volatile quanto a rischio di essere intercettata da malintenzionati.

    Se veramente abbiamo qualcosa di serio e grave o importante da nascondere o tutelare allora iniziamo a chiudere i vari account google, facebook, telecom, enel, sky, conti in banca, carte di credito, navigatori satellitari…………… 

    • Luca T.

      Tu non sei normale..!! Per quanto riguarda facebook o vari siti, siamo noi a dare il consenso al trattamento dei nostri dati personali e accesso ad altri vari file… Essendo così a rischio e così vulnerabili senza dare consenso e senza neanche saperlo, non è grave, ma gravissimo… Bisogna scatenare l’inferno, affinché siamo noi i nostri soli responsabili di eventuali ‘danni’ e non terzi che accedono ai nostri terminali… Se la pensi così inizia a cancellarti dai vari forum… Io sinceramente, la tecnologia c’è e la sfrutto al meglio in base alle mie esigenze… Essendo cosciente di tutto ciò che può accadere… Mi affido a chi di me ne capisce molto di più, sostenendoli e sollecitandoli a risolvere per quanto più possano questo problema… Tanti saluti a tutti, Luca T.

  • Califfone

    Mi sembra doveroso da parte di tutti i produttori fare un aggiornamento su tutti i terminali correggendo così questa grave falla. 

    • Caro Califfone la penso come te!!

    • meldon

      Ma tu pensi davvero che accadrà? Ai produttori importa poco dei terminali che hanno più di 9-10 mesi… Sarebbe una scusa come un’altra per dire “comprate un telefono nuovo”…

    • Loscalpello

      @ califfone

      In effetti…. a quante persone puo’ capitare di accedere ad una rete wi-fi aperta ?
      Riflettendoci bene sopra viene da sorridere : Se ci si collega ad una rete wi-fi aperta,la quale per definizione non cripta il traffico che transita su di essa e’ “normale” avere accesso ai dati stessi ,da parte di “chiunque”.
      Tutto questo ovviamente non capita se si utilizza una rete wi-fi PRIVATA ,come il buon senso prevederebbe (altrimenti a cosa servirebbe la cifratura WPA ? ).
      Certo che se anche in Italia ,come in altri Paesi, dovvessero diffondersi le reti wi-fi pubbliche allora potrebbe diventare un problema ! (Ma mi viene da ridere pensando al fatto che quando questo accadra’ il caro Anrdoid sara’ giunto alla…… ennesima versione, quindi il problema non esistera’ piu’ ).
      Stiamo asistendo alla classica tempesta (perfetta) in un bicchierino di rosolio !.
      Saluti da Campobasso .

      • Guest

        non sai di cio’ che parli ! documentati e poi parla

    • Loscalpello

      @ califfone

      In effetti…. a quante persone puo’ capitare di accedere ad una rete wi-fi aperta ?
      Riflettendoci bene sopra viene da sorridere : Se ci si collega ad una rete wi-fi aperta,la quale per definizione non cripta il traffico che transita su di essa e’ “normale” avere accesso ai dati stessi ,da parte di “chiunque”.
      Tutto questo ovviamente non capita se si utilizza una rete wi-fi PRIVATA ,come il buon senso prevederebbe (altrimenti a cosa servirebbe la cifratura WPA ? ).
      Certo che se anche in Italia ,come in altri Paesi, dovvessero diffondersi le reti wi-fi pubbliche allora potrebbe diventare un problema ! (Ma mi viene da ridere pensando al fatto che quando questo accadra’ il caro Anrdoid sara’ giunto alla…… ennesima versione, quindi il problema non esistera’ piu’ ).
      Stiamo asistendo alla classica tempesta (perfetta) in un bicchierino di rosolio !.
      Saluti da Campobasso .

  • Vallyxit

    oddio l’immagine è macraba :

  • Prostatico nexus s

    L’unico computer o smartphone al riparo da viiolazioni esterne, sono computer o smartphone spenti. In qualsiasi altra situazione, tutti e ripeto tutti sono piu o meno vulnerabili. Ora non allarmiamoci un pò troppo, per riuscire a sfruttare questa falla, ci vuole un pò di esperienza e saperne parecchio.

  • Anonimo

    Comunicazione di servizio :

    Impropriarsi? Appropriarsi
    Stango? Stando

    Comunque già accorciare la durata ad un’ora non sarebbe male, tanto per iniziare!

    • Alex

      Corretto. 

  • Ghzm Supa

    Ma di che si appropriano? Per quanto mi riguarda non ho dati sensibili associati all’account google o altri account, ho disattivato un precedente account google proprio perchè vi avevo associato la poste pay, ma per il resto?
    Credo che l’intelligenza in tutto questo sia nell’esporsi il meno possibile, il massimo che potrebbero venire a sapere di me entrando nel mio terminale da remoto (ma anche prendendolo in mano e guardandoci un po’) sono i seguenti dati: I miei high-scores a fruit ninja e compagnia bella, come si chiama il mio pesce rosso e quanto credito ho sul telefono…al massimo leggere i messaggi… ma a chi può fregare di leggere i miei messaggi?Fatevi furbi, se avete qualcosa da tenere segreto affidatevi alla carta e all’inchiostro e tenete le informazioni “private” su un pezzo di carta nella tasca dei pantaloni XD

  • Evilgio81

    A volte penso che i migliori telefoni siano i più antichi, quei mattoni grezzi che avevano giusto le funzioni essenziali. Noi amanti della tecnologia ci facciamo affascinare da touch screen, tablet e quantaltro e diventiamo prede degli hacker. È scandaloso se ci pensiamo: spendiamo 400 e passa euro per uno smartphone e non siamo nemmeno al sicuro. Viva gli hippy

  • Dangernet

     secondo me è doveroso dire che, essendo un sistema operativo aperto e largamente diffuso, è vulnerabile di più di altri sistem chiusi fino all’osso (iOS, WebOS e RIM OS docet) e si dovrebbe perlomeno “accettare” che queste notizie diventeranno sempre più frequenti…

    • anonimo

      evviva iphone che non a sti cazzi hahahaha 

      • Marletto Cazzone

         dimmi, tu tifi Juve vero?

    • otty

       il codice sorgente di android è accessibile a chiunque. l’essere open sourche è la sua forza e la sua debolezza

  • Dangernet

     secondo me è doveroso dire che, essendo un sistema operativo aperto e largamente diffuso, è vulnerabile di più di altri sistem chiusi fino all’osso (iOS, WebOS e RIM OS docet) e si dovrebbe perlomeno “accettare” che queste notizie diventeranno sempre più frequenti…

  • Gioi92

    Chi ha effettuato questa ricerca?

  • Marletto Cazzone

    Si’ davvero, hanno rotto il cazzo  con ‘sta storia delle falle, della privacy etc etc
    Non c’e’ niente di piu’ bello che fare tana a qualcuno eh?
    Tanto tutti sanno tutto di noi, ma che cazzo ve ne frega?

  • Mdagabi

    Ma veramente, stai cagando dalla boca? So tutte bugie… Loscalpello ( captain puthanate )