Il 99% dei dispositivi Android è vulnerabile

Una falla di sicurezza mette a rischio i dati degli utenti.

Il 99% dei dispositivi Android in circolazione soffre di una vulnerabilità che mette a rischio gli utenti quando connessi a una rete Wi-Fi pubblica.
Il bug è presente nella versione 2.3.3 e in tutte quelle precedenti; sono immuni la 2.3.4 e successive, ma ciò significa che solo l'1% dei dispositivi Android è completamente sicuro.
Il problema sta nel protocollo ClientLogin che gestisce l'accesso ai servizi di Google e ottiene un authToken valido per due settimane.
Il problema è che se questo token viene inviato non tramite HTTPS ma tramite HTTP può essere intercettato e utilizzato da terzi.

«Per esempio» - spiega il gruppo di ricercatori tedeschi che l'ha scoperto -«un malintenzionato può ottenere pieno accesso al calendario, alle informazioni sui contatti o ai Web album Picasa privati degli utenti di Google».
Infatti Calendar e Contacts trasmettono le richieste in chiaro, via HTTP.
Creare un rete Wi-Fi senza protezioni con un nome conosciuto dal dispositivo Android che si vuole attaccare farebbe sì che questo si connetta immediatamente e permetterebbe di sottrarre i dati.
Il vero problema è che non tutti i dispositivi Android possono essere aggiornati: in qualche caso il produttore vieta esplicitamente questa possibilità, mettendo in pericolo gli utenti.