Secondo i ricercatori dell’università tedesca di Ulm il 99% dei dispositivi Android, tra smartphone e tablet, risulta vulnerabile al furto di dati sensibili dell’utente. Il problema deriva da una errata implementazione del protocollo di autenticazione per Contatti, Calendari e altri servizi cloud di Google, in cui la trasmissione di nome utente e password avviene non crittografata e con cookies validi fino a 14 giorni.
Per verificare l’effettiva esistenza della vulnerabilità e il suo possibile sfruttamento da parte di malintenzionati i ricercatori tedeschi hanno eseguito prove in cui un punto di accesso Wi-Fi libero permette ai dispositivi Android di agganciarsi in automatico. A questo scopo è stato creato un hot spot con nome e SSID comune, senza crittogria: i terminali Android una volta agganciati tentano di comunicare e aggiornare le app più utilizzate. In questa fase un malintenzionato riuscirebbe a raccogliere i dati degli account trasmessi in chiaro.
Google è al corrente del problema che è stato parzialmente risolto con l’update 2.3.4 rilasciato pochi giorni fa ma la vulnerabilità rimane valida per l’account Picasa. La situazione è ulteriormente aggravata dalla scarsa adozione degli aggiornamenti da parte degli operatori mobile e anche degli utenti. Secondo le statistiche di Google numerosi utenti utilizzano ancora Android nelle versioni precedenti alla chiusura della falla, mentre anche con Android 2.3.4 e Android 3 sembra persistere il problema con l’account Picasa. Da queste premesse i ricercatori tedeschi valutano che il 99% dei dispositivi Android è soggetto al problema. In attesa di una soluzione ufficiale esperti, ricercatori e Google stessa consigliano di utilizzare i servizi citati solo tramite reti sicure, evitando gli hotspot pubblici.