Vulnerabilità di Android, ma solo fino alla 2.3.3

Una vasta maggioranza di dispositivi che hanno come sistema operativo Android sono vulnerabili ad un tipo di attacco che potrebbe permettere ad un malintenzionato la sottrazione di credenziali digitali usate per accedere ai vari calendari, contatti e altri dati salvati sui server del gigante dei motori di ricerca.

Questa vulnerabilità nasce da uno baco nello sviluppo del protocollo di autentificazione conosciuto come ClientLogin, presente sulle versioni di Android fino alla versione 2.3.3 ed è stata scoperta da alcuni ricercatori tedeschi dell'Università di Ulm. Quando un dispositivo fa accesso con delle credenziali corrette al calendario, ai contatti e verosimilmente anche ad altre applicazioni, l'interfacccia riceve un token che viene inviato al dispositivo in chiaro. Poiché questo token può essere usato nei successivi 14 giorni per ogni tipo di autentificazione, i malintenzionati potrebbero sfruttarlo per guadagnare un accesso ai contenuti.

"Il nostro intento era dimostrare che è possibile lanciare un attaco impersonale verso i servizi gestiti da Google, e abbiamo iniziato così le nostre analisi" hanno dichiarato i ricercatori dell'Università lo scorso venerdì "La risposta in breve è Si, si può fare. E non solo, ma è anche piutosto facile."

Questa scoperta fa seguito alle rivelazioni del Professor Dan Wallach che lo scorso Febbraio aveva reso pubblico un problema simile legato a Twitter, Facebook e alla stessa Google. Vulnerabilità che aveva scoperto per puro caso, durante una esercitazione in aula sulla sicurezza.