Secondo quanto scoperto dall’Università di Ulm, il 99% dei dispositivi Android in circolazione sarebbe minacciato da una grave vulnerabilità. Al momento sono esclusi dalla lista solamente gli apparecchi dotati della versione 2.3.4 del sistema operativo di Mountain View (l’ultima rilasciata), che ad oggi costituiscono però una fetta irrisoria del mercato in virtù del lento ritmo di aggiornamento dei device a seguito del rilascio di aggiornamenti e nuove versioni.
Sotto accusa il servizio ClientLogin, utilizzato come protocollo di autenticazione da molti servizi nativi – tra i quali Google Calendar e Google Contacts – nonché da numerose applicazioni di terze parti (che diventano così automaticamente a rischio) e colpevole di inviare i dati relativi all’autenticazione in chiaro, senza sfruttare i benefici della connessione HTTPS.
Ciò comporta la possibilità da parte di utenti malintenzionati di captare con relativa facilità il token di autenticazione inviato dai servizi Google e utilizzarlo per accedere ai dati personali contenuti nell’apparecchio ad esso associato; diventa così possibile ottenere ad esempio l’accesso al calendario, ai contatti, alla posta elettronica o anche ai documenti e agli account relativi ai social network.
Chi utilizza dispositivi Android per lavoro dovrebbe quindi fare estrema attenzione nel caso di connessione tramite una rete Wi-Fi pubblica; è bene tenere inoltre in considerazione come i token abbiano una validità di ben 14 giorni, offrendo così la possibilità ad eventuali malintenzionati di reiterare con facilità le intrusioni nel tempo.
Come fare quindi per difendersi? Controllare la disponibilità di Android 2.3.4 per il proprio apparecchio. Se non fosse disponibile, è possibile limitare i danno disabilitando la sincronizzazione automatica ed evitando l’utilizzo di reti pubbliche; è bene inoltre cancellare le reti già memorizzate, al fine di evitare una successiva connessione automatica.