Sui dispositivi mobili troppi dati sono conservati "in chiaro"

Alcune applicazioni sviluppate per tablet e smartphone conserverebbero informazioni sulle carte di credito, su password e nomi utente in forma non crittografata all’interno della memoria del dispositivo. Lo hanno affermato i tecnici di viaForensics, una società statunitense specializzata nell’analisi forense del contenuto dei device mobili (di “informatica forense” abbiamo recentemente parlato in questo articolo).

Secondo viaForensics, applicazioni con nomi altisonanti quali Android Mail per Exchange e Hotmail, Foursquare e Groupon, conserverebbero – sotto forma di testo in chiaro – le credenziali d’accesso dell’utente e parte delle informazioni che si sono consultate. Per un malintenzionato che disponesse dell’accesso “fisico” al dispositivo della vittima, si spiega da viaForensics, non sarebbe difficoltoso individuare le informazioni annotate in chiaro nella memoria del dispositivo e sottrarle illecitamente. Anche l’accesso remoto ad un dispositivo mobile sta divenendo uno scenario sempre più comune: ciò in forza dei malware che gli aggressori stanno via a via congegnando per i device Android e delle operazioni di “sblocco” (jailbreaking) dei dispositivi a marchio Apple.

Gli esperti ricordano come la memorizzazione della “cronologia” degli spostamenti dell’utente, funzionalità di tracciamento scoperta in primavera negli iPhone (poi corretta), abbia sollevato un vespaio di polemiche (ved. questo articolo e questo approfondimento). Per viaForensics, però, tale problematica non sarebbe nulla se paragonata alla memorizzazione in chiaro di dati personali quali password, nomi utente, dettagli delle carte di credito e messaggi scambiati con colleghi e collaboratori.

L’elenco completo delle applicazioni messe alla prova dai tecnici di viaForensics è consultabile cliccando qui. Per ciascuna di esse, è riportato un giudizio che indica se il programma, attualmente, memorizzi i dati in forma cifrata oppure in chiaro. Prima della pubblicazione dei risultati del test, viaForensics ha provveduto a contattare ciascun produttore esposto nell’elenco: in alcuni casi, quindi, è assai probabile che sia stata rilasciata una versione aggiornata esente da problemi.