Il 99% dei terminali Android è vulnerabile

Il 99% dei terminali Android è vulnerabile

Secondo uno studio dei ricercatori della German University of Ulm il 99% dei terminali equipaggiati con Android sarebbero poco sicuri

di pubblicata il , alle 17:13 nel canale Telefonia
Android
 

Android potrebbe sembrare un sistema operativo assolutamente sicuro, ma alcuni ricercatori della German University of Ulm hanno scoperto che utilizzare un dispositivo Android connesso a una rete WiFi aperta rende quantomeno probabile la possibilità di attacchi ai dati personali. Dallo studio effettuato emergerebbe che circa il 99.7% dei terminali Android è vulnerabile. Praticamente tutti quindi, a fare eccezione sono infatti soltanto gli smartphone equipaggiati con la versione 2.3.4 dell'OS della Open Handset Alliance.

La problematica affonda le sue radici nel fatto che i dati di autenticazione, ricevuti durante la fase di login ai server di Google, vengono successivamente trasmessi alle varie applicazioni utilizzando testo in chiaro. Un aggressore che si trovasse connesso alla medesima rete locale, quindi, potrebbe agevolmente sottrarre i dati altrui ed accedere in modo non autorizzato ad account che non gli appartengono, semplicemente sfruttando le API di Google.

Come ricordano i ricercatori tedeschi, i maggiori rischi si corrono, ad esempio, quando si fa uso di una connessione wireless pubblica: in questo frangente, il rischio d'attacco è notevole.

A partire delle versioni 3.0 e 2.3.4 di Android, Google ha provato a rimediare a questi problemi iniziando ad utilizzare HTTPS per le operazioni di sincronizzazione del calendario e dei contatti.

Si stima che, allo stato attuale, le versioni di Android (2.1, 2.2 e 2.3) interessate dalla problematica siano complessivamente installate sul 99% dei dispositivi Android in circolazione. Come misura preventiva, i ricercatori suggeriscono di disattivare la funzionalità "auto-sync" in modo tale da evitare la trasmissione dei login durante la connessione a reti wireless non sicure.

Secondo i ricercatori, per rimediare a questo pasticcio basterebbe usare un protocollo di autenticazione più sicuro come per esempio OAuthApps (al posto di ClientLogin). Inoltre, i ricercatori hanno suggerito a Google di migliorare la sua sicurezza accorciando il tempo di validità del token e rigettando le domande di ClientLogin provenienti da connessioni http insicure.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

40 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Nenco17 Maggio 2011, 17:17 #1
Almeno con il nexus one sono al sicuro
marcox199417 Maggio 2011, 17:24 #2
Non credo sia un problema per tutti i comuni mortali...certo non è un bene ma comunque google si sta dando da fare...
ilcose17 Maggio 2011, 17:26 #3
Anche io !!! W i terminali GOOGLE EXPERIENCE e il mai vecchio N1!!!

Peccato perè per questa terribile frammentazione dei vari produttori, d altronde capisco anche le politiche delle altre aziende, x loro supportare un prodotto gia venduto è solo un costo in piu ....
molto meglio vendere nuovi terminali che aggiornare i vecchi, con la prima operazione guadagni con la seconda no....

Per questo io non comprerè mai terminali che non siano google experience...
Mr_Paulus17 Maggio 2011, 17:27 #4
A partire delle versioni 3.0 e 2.3.4 di Android, Google ha provato a rimediare a questi problemi iniziando ad utilizzare HTTPS per le operazioni di sincronizzazione del calendario e dei contatti.




stiamo scherzando?si è dovuti arrivare alla luce del 2011 per usare https?
mnovait17 Maggio 2011, 17:32 #5
nexus one con 2.3.4 ufficiale
Deltaxu717 Maggio 2011, 17:40 #6
Io ho sul galaxy s la miui 2.3.4,Sn al sicuro?!
nero8817 Maggio 2011, 17:43 #7
Ecco perché Google deve rendere obbligatori alcuni aggiornamenti per tutti i produttori e tutti i terminali. Sono questioni di sicurezza abbastanza importanti, è giusto che anche chi abbia android 2.2 o peggio 2.1 sia protetto
pgp17 Maggio 2011, 17:44 #8
Originariamente inviato da: Mr_Paulus
stiamo scherzando?si è dovuti arrivare alla luce del 2011 per usare https?


Tu la metti sul ridere, ma è una cosa grave. Spero che si riesca a fare abbastanza rumore da convincere i vari produttori ad aggiornare alla 2.3.4 (io per esempio sono alla 2.3.3 con il Desire HD, un aggiornamento ci starebbe tutto) o, almeno, a fare un piccolo upgrade del firmware per aggiungere questa piccola quanto fondamentale feature anche ai modelli fermi a Froyo, éclair ecc...


pgp
litocat17 Maggio 2011, 18:10 #9
Originariamente inviato da: pgp
Tu la metti sul ridere, ma è una cosa grave. Spero che si riesca a fare abbastanza rumore da convincere i vari produttori ad aggiornare alla 2.3.4 (io per esempio sono alla 2.3.3 con il Desire HD, un aggiornamento ci starebbe tutto) o, almeno, a fare un piccolo upgrade del firmware per aggiungere questa piccola quanto fondamentale feature anche ai modelli fermi a Froyo, éclair ecc...

Non convincerai mai nessuno e il recente tentativo da parte di Google di far garantire gli aggiornamenti per 18 mesi lasciera' il tempo che trova. E' proprio il modello di sviluppo di Google che e' sbagliato: chi si occupa di hw deve occuparsi di hw, chi si occupa di sw deve occuparsi di sw (vedi quello che fa Microsoft). Non puoi sperare che uno che produce hw vada contro i suoi interessi spendendo risorse per garantirti aggiornamenti tempestivi quando per lui e' piu' conveniente che tu gli compri un nuovo smartphone.
Mr_Paulus17 Maggio 2011, 18:21 #10
Originariamente inviato da: pgp
Tu la metti sul ridere, ma è una cosa grave. Spero che si riesca a fare abbastanza rumore da convincere i vari produttori ad aggiornare alla 2.3.4 (io per esempio sono alla 2.3.3 con il Desire HD, un aggiornamento ci starebbe tutto) o, almeno, a fare un piccolo upgrade del firmware per aggiungere questa piccola quanto fondamentale feature anche ai modelli fermi a Froyo, éclair ecc...


pgp


sisi la mia risata è per enfatizzare la gravità della cosa

speriamo che la maggior parte dei telefoni venga aggiornata!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^