Il 99% dei terminali Android è vulnerabile
Secondo uno studio dei ricercatori della German University of Ulm il 99% dei terminali equipaggiati con Android sarebbero poco sicuri
di Davide Fasola pubblicata il 17 Maggio 2011, alle 17:13 nel canale TelefoniaAndroid
Android potrebbe sembrare un sistema operativo assolutamente sicuro, ma alcuni ricercatori della German University of Ulm hanno scoperto che utilizzare un dispositivo Android connesso a una rete WiFi aperta rende quantomeno probabile la possibilità di attacchi ai dati personali. Dallo studio effettuato emergerebbe che circa il 99.7% dei terminali Android è vulnerabile. Praticamente tutti quindi, a fare eccezione sono infatti soltanto gli smartphone equipaggiati con la versione 2.3.4 dell'OS della Open Handset Alliance.
La problematica affonda le sue radici nel fatto che i dati di autenticazione, ricevuti durante la fase di login ai server di Google, vengono successivamente trasmessi alle varie applicazioni utilizzando testo in chiaro. Un aggressore che si trovasse connesso alla medesima rete locale, quindi, potrebbe agevolmente sottrarre i dati altrui ed accedere in modo non autorizzato ad account che non gli appartengono, semplicemente sfruttando le API di Google.
Come ricordano i ricercatori tedeschi, i maggiori rischi si corrono, ad esempio, quando si fa uso di una connessione wireless pubblica: in questo frangente, il rischio d'attacco è notevole.
A partire delle versioni 3.0 e 2.3.4 di Android, Google ha provato a rimediare a questi problemi iniziando ad utilizzare HTTPS per le operazioni di sincronizzazione del calendario e dei contatti.
Si stima che, allo stato attuale, le versioni di Android (2.1, 2.2 e 2.3) interessate dalla problematica siano complessivamente installate sul 99% dei dispositivi Android in circolazione. Come misura preventiva, i ricercatori suggeriscono di disattivare la funzionalità "auto-sync" in modo tale da evitare la trasmissione dei login durante la connessione a reti wireless non sicure.
Secondo i ricercatori, per rimediare a questo pasticcio basterebbe usare un protocollo di autenticazione più sicuro come per esempio OAuthApps (al posto di ClientLogin). Inoltre, i ricercatori hanno suggerito a Google di migliorare la sua sicurezza accorciando il tempo di validità del token e rigettando le domande di ClientLogin provenienti da connessioni http insicure.
Recensione Sony Xperia 1 VII: lo smartphone per gli appassionati di fotografia
Attenti a Poco F7: può essere il best buy del 2025. Recensione
Recensione Samsung Galaxy Z Fold7: un grande salto generazionale 
La Cina mostra i progressi del lander lunare Lanyue, sempre più probabile l'allunaggio nel 2029
Tesla manda in fumo 68 miliardi in 48 ore, gli azionisti citano l'azienda in tribunale
Backdoor segrete nei chip NVIDIA? La Cina accusa, l'azienda nega, il governo USA affossa
Donald Trump chiede la testa del CEO di Intel, Lip-Bu Tan
Arriva il generatore che potrebbe cambiare le auto elettriche: DeepDrive presenta il suo range extender compatto ed efficiente
PCI-SIG conferma la roadmap PCIe: nel 2028 arriva la versione 8.0 a 256 GT/s
Addio a Gianni Berengo Gardin, la fotografia italiana piange il suo maestro
Oracle semplifica l'implementazione di app mission critical distribuite 
Il Made in Italy su Marte con SpaceX: esperimenti italiani a bordo delle prime Starship verso il pianeta rosso
I servizi critici non sono un problema con l'alta disponibilità di Synology
Sony stringe la presa su Bungie: addio all'indipendenza promessa?
Redmi A5 4G: a meno di 70 euro non puoi davvero chiedere di più!
Attacco hacker a Google confermato: rubati dati aziendali tramite inganno telefonico
Leapmotor sfida BYD: ora vende pacchi batteria anche ad altri costruttori
40 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoPeccato perè per questa terribile frammentazione dei vari produttori, d altronde capisco anche le politiche delle altre aziende, x loro supportare un prodotto gia venduto è solo un costo in piu ....
molto meglio vendere nuovi terminali che aggiornare i vecchi, con la prima operazione guadagni con la seconda no....
Per questo io non comprerè mai terminali che non siano google experience...
stiamo scherzando?si è dovuti arrivare alla luce del 2011 per usare https?
Tu la metti sul ridere, ma è una cosa grave. Spero che si riesca a fare abbastanza rumore da convincere i vari produttori ad aggiornare alla 2.3.4 (io per esempio sono alla 2.3.3 con il Desire HD, un aggiornamento ci starebbe tutto) o, almeno, a fare un piccolo upgrade del firmware per aggiungere questa piccola quanto fondamentale feature anche ai modelli fermi a Froyo, éclair ecc...
pgp
Non convincerai mai nessuno e il recente tentativo da parte di Google di far garantire gli aggiornamenti per 18 mesi lasciera' il tempo che trova. E' proprio il modello di sviluppo di Google che e' sbagliato: chi si occupa di hw deve occuparsi di hw, chi si occupa di sw deve occuparsi di sw (vedi quello che fa Microsoft). Non puoi sperare che uno che produce hw vada contro i suoi interessi spendendo risorse per garantirti aggiornamenti tempestivi quando per lui e' piu' conveniente che tu gli compri un nuovo smartphone.
pgp
sisi la mia risata è per enfatizzare la gravità della cosa
speriamo che la maggior parte dei telefoni venga aggiornata!
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".