Applicazioni Android e dati di autenticazione non cifrati

I ricercatori dell’università tedesca Ulm hanno messo a nudo una vulnerabilità in Android che potrebbe consentire ad un malintenzionato di guadagnare l’accesso agli account Google Calendar, Picasa Web Album e Google Contact appartenenti ad altri utenti. La problematica affonda le sue radici nel fatto che il token di autenticazione, ricevuto durante la fase di login ai server di Google, viene successivamente trasmesso dalle varie applicazioni utilizzando testo in chiaro. Un aggressore che si trovasse connesso alla medesima rete locale, quindi, potrebbe agevolmente sottrarre il token altrui ed accedere in modo non autorizzato ad account che non gli appartengono, semplicemente sfruttando le API di Google.

Il problema è simile a quello recentemente sollevato dagli autori dell’estensione Firesheep per Mozilla Firefox (ved. queste pagine) che consente di intercettare il contenuto dei cookie di autenticazione ai vari servizi web allorquando vengano impiegate connessioni insicure (uso del protocollo HTTP anziché HTTPS).

Come ricordano i ricercatori tedeschi, i maggiori rischi si corrono, ad esempio, quando si fa uso di una connessione wireless pubblica: in questo frangente, il rischio d’attacco è notevole.

A partire delle versioni 3.0 e 2.3.4 di Android, Google ha iniziato ad utilizzare HTTPS per le operazioni di sincronizzazione del calendario e dei contatti. Analogo intervento non è stato però ancora applicato nel caso di Picasa Web Album. Secondo quanto rivelato, tuttavia, il team di sviluppo del colosso di Mountain View dovrebbe essere già al lavoro per sanare la situazione.
Si stima però che, allo stato attuale, le versioni di Android (2.1 e 2.2) interessate dalla problematica siano complessivamente installate sul 90% dei dispositivi Android in circolazione. Come misura preventiva, i ricercatori suggeriscono di disattivare la funzionalità “auto-sync” in modo tale da evitare la trasmissione dei token durante la connessione a reti wireless non sicure.