Google: corretta la vulnerabilità di Android

di Tullio Matteo Fanti

19 Maggio 2011 15:10

Google corregge la falla relativa ai token di Android agendo lato server; ciò permette di bloccare la vulnerabilità senza costringere gli utenti ad una aggiornamento forzato.

Non è passato inosservato l’allarme lanciato i giorni scorsi dall’Università di Ulm e relativo ad una vulnerabilità presente nel 99% dei dispositivi Android in circolazione. Gli ingegneri Google si sono così messi all’opera per trovare una soluzione il più possibile efficace, senza dover costringere milioni di persone ad un aggiornamento immediato.

La soluzione è tanto semplice quanto al contempo funzionale: la falla è stata infatti corretta nel corso della giornata di mercoledì a livello server e nel corso dei prossimi giorni coinvolgerà in positivo tutti gli utenti Android, senza che questi debbano necessariamente compiere alcuna operazione di aggiornamento.

La falla scoperta dai ricercatori aveva individuato una debolezza nel servizio ClientLogin, utilizzato da alcuni applicativi come protocollo di autenticazione e che permetteva ad eventuali malintenzionati di captare con relativa facilità i token inviati a servizi Google quali Calendar, Contacts e Picasa e di accedere quindi alle informazioni in essi contenuti.

Il correttivo modifica così la gestione di contatti e calendari sul server, in modo da prevenire l’accesso non autorizzato alle informazioni. Al momento, le immagini archiviate in Picasa non risultano ancora protette e non sono state rilasciate indicazione in merito ad un correttivo relativo nello specifico a tale problematica.

Gli altri servizi online Google sono invece stati corretti: l’utenza Android dovrà comunque aggiornare il proprio device quanto prima alla versione 2.3.4 (l’ultima rilasciata), ma lo specifico della vulnerabilità emersa dagli studi dei ricercatori tedeschi è risolta a livello server evitando così di prolungare l’allarme in attesa dell’update dei singoli client.