Android:ancora una vulnerabilità di sicurezza dei dati di accesso

La sicurezza dei dati è una cosa spesso data per scontata,specialmente quando si tratta di password e login e con l’utente che generalmente suppone che il sitema di login autorizzato sia sicuro. Purtroppo, a causa di un sistema di convenienza implementato dall’ Android 2.3.3 in poi, le credenziali di accesso possono essere inavvertitamente esposte a chiunque. La vulnerabilità è stata scoperta in Android diversi mesi fa e modificata per alcuni programmi specifici, ma colpisce ancora le applicazioni come Google Calendar, Contacts, e forse altri account.
In genere le operazioni di login sono fatto attraverso una connessione sicura, criptata end-to-end, saltando da un server all’altro e rendendo i dati sicuri e non leggibili passando da un server all’altro prima che raggiunga la sua destinazione. In questo caso, Android utilizza un ‘authToken‘ che permette al dispositivo di utilizzare le credenziali di accesso già esistenti per un massimo di 14 giorni senza dover ri-loggare. Di conseguenza un potenziale attaccante deve solo controllare uno dei salti che i dati fanno tra il dispositivo e il server di login, al fine di intercettare il traffico di dati non criptati e ottenere il authToken login ( equivalente ad un permesso automatico di login). Queste authTokens sono generalmente considerati sicuri da usare se trasmessi attraverso una connessione sicura, tuttavia in questo caso la connessione è protetta dalle Nazioni Unite.
Il punto più vulnerabile di un attacco sono i punti di accesso Wi-Fi con cui un aggressore potrebbe essere in qualche posto a pochi passi o addirittura avere un dispositivo per collegare il authTokens automaticamente;questo perchè,con il Wi Fi si abbandona la rete locale e i pacchetti dati rimangono senza controllo e potenzialmente vulnerabili.
Google è a conoscenza della vulnerabilità e ha già affrontato in Android 2.3.4 e Honeycomb, tuttavia la maggior parte dei dispositivi impiegati (il 99% secondo le statistiche di Google) non sono aggiornati a queste versioni di OS e così restano vulnerabili.

About davide

Ho sempre voglia di conoscere le novità che il mercato offre. Android, iOS, Windows Phone sono sempre stati centro di interesse come evoluzione e sviluppo.

Comments are closed.

Il Bloggatore