Privacy, riparata falla di Android: esponeva a fughe di dati

SMARTPHONE

La nuova release corregge un punto debole che affliggeva il 99% dei cellulari con sistema operativo di Google. Il presidente Schmidt: "La privacy degli utenti ci sta a cuore, ma chi condivide con noi i dati avrà servizi migliori"

di Patrizia Licata
Scoperta e prontamente riparata una grave falla nei cellulari Android che esponeva potenzialmente i dati degli utenti al furto da parte di hacker. Un gruppo di ricercatori dell’Università di Ulm ha infatti scoperto solo due giorni fa che il 99% dei device Android, quelli con sistema 2.3.3 o versioni precedenti, hanno una vulnerabilità che rende teoricamente accessibili i dati e i documenti personali dell’utente.

La falla individuata sarebbe legata ai token utilizzati per l’autorizzazione dei dispositivi Android all’interno di reti wi-fi non protette, che possono essere sfruttate per captare le informazioni riguardanti le indentità, i contatti, i calendari e le immagini Picasa archiviate sui device.

Molte applicazioni installate sui telefoni Android interagiscono con i servizi di Google chiedendo un token di autenticazione, ovvero una carta di identità digitale per quella app, spiegano Bastian Konings, Jens Nickels e Florian Schaub della Università di Ulm. Una volta emesso, il token elimina la necessità di riaccreditarsi ai servizi per un certo periodo di tempo. Tuttavia, hanno scoperto i ricercatori, questi token sono spediti come testo sulle reti mobili e possono essere intercettati dai criminali e rubati.

Il problema affligge tutte le versioni di Android precedenti alla 2.3.4, ovvero il 99% dei terminali basati sul sistema operativo sviluppato da Google. La release 2.3.4, rilasciata nei giorni scorsi, corregge il problema. Tuttavia, Mountain View, abituata ad essere nel mirino per le questioni di privacy, ha voluto evitare complicazioni e ha prontamente riparato la fatta anche del software precedente: proprio oggi la società fa sapere che i suoi ingegneri hanno già trovato una soluzione per la falla che non richiederà alcun intervento da parte dell’utente finale.

Gli ingegneri di Mountain View hanno infatti realizzato una patch lato server, modificando la gestione di contatti e calendari in remoto, così da prevenire l’accesso non autorizzato alle informazioni salvate. Nel corso dei prossimi giorni tale patch sarà applicata a livello globale e non richiederà alcun intervento manuale da parte degli utenti, che potranno continuare ad utilizzare i propri smartphone e tablet senza correre alcun rischio. Al momento, la soluzione proposta da Google non copre le immagini archiviate in Picasa, per le quali è ancora in fase di studio una patch.

Intanto il presidente di Google Eric Schmidt, che ha partecipato alla conferenza sulla privacy Big Tent nell’Hertfordshire, in Uk, ha promesso che l’azienda semplificherà il processo con cui gli utenti dei telefoni Android acconsentono a condividere i loro dati e ha rivelato che Google darà ai suoi utenti su Internet maggior controllo sul profilo online. “Per noi la privacy è una questione seria”, ha garantito Schmidt. "Stiamo lavorando su una serie di progetti volti ad accrescere la nostra trasparenza”. Per esempio, un nuovo Google Dashboard, dove gli utenti potranno sempre vedere quali dati hanno condiviso con Google. “Siamo dalla parte dei consumatori quando si tratta di privacy”, ha detto Schmidt. “Ma se l’utente acconsente a condividere con noi i suoi dati, potremo offrirgli servizi migliori”.

19 Maggio 2011