Il servizio ClientLogin, utilizzato come protocollo di autenticazione da diversi servizi offerti da Google (come Google Contacts e Calendar) e da numerose applicazioni di 3° parti, ha infatti il limite di inviare i dati relativi all’autenticazione in chiaro, senza sfruttare ad esempio una connessione HTTPS.
Ciò comporta quindi la possibilità da parte di malintenzionati di captare con relativa facilità il token di autenticazione inviato dai servizi Google e utilizzarlo per appropriarsi dei dati personali. Un altro problema è poi la durata della validità di questi token, equivalente a 2 settimane.
“L’authToken di ritorno può essere usato per qualsiasi richiesta successiva all’API di servizio ed è valido per un massimo di 14 giorni. Tuttavia se questo authToken è usato per richieste di invio su una connessione HTTP non criptata, un malintenzionato può facilmente intercettare l’authToken.”
“Poiché l’authToken non è legato ad alcuna sessione o informazione specifica del dispositivo, un malintenzionato può usarlo per accedere a qualsiasi dato personale che è stato reso disponibile attraverso l’API di servizio. Ciò significa che un utente malintenzionato può avere pieno accesso al calendario, ai contatti, eventi o foto private con la possibilità di cancellarli o modificarli.”
Stando ai ricercatori, l’unica versione al riparo da questa falla, dove sarebbe tappata in parte, è la 2.3.4. Pertanto viene raccomandato di aggiornare a quest’ultima, se possibile, oltre ad evitare le reti Wi-Fi aperte e disabilitare la sincronizzazione automatica quando ci si connette a reti aperte.