Nemmeno il tempo per festeggiare l’ultimo keynote che alla Google hanno già dolorose gatte da pelare.
L’Institute of Media Informatics dell’Università di Ulm in Germania, ha svolto una ricerca sulla sicurezza dei dati sensibili conservati dal sistema operativo Android. I risultati sono davvero sconfortanti per la maggior parte degli utenti cari al famoso sistema operativo open source sul mercato.
Il problema risiede in un utilizzo improprio del protocollo di autenticazione noto come Client Login presente nella versione 2.3.3 e in quelle precedenti. Dopo che un utente invia le credenziali di accesso per Google Calendar, Contacts e altri servizi, l’interfaccia di programmazione recupera un resoconto dell’autenticazione che viene inviato in chiaro per la Rete. Tale resoconto, che contiene le password, viene mantenuto sui server per un massimo di 14 giorni, un periodo di tempo utile per gli hacker che possono sfruttare l’accesso non autorizzato agli accounts.
La falla si affianca a quella scoperta a Febbraio dal professor Dan Wallach della Rice University di Houston che scoprì per caso durante una lezione in aula, che utilizzando un connessione Wi Fi non protetta, si può entrare in possesso delle password di Facebook, Twitter e Google Calendar, su molti terminali che montano Android. Google aveva tappato il buco all’inizio di questo mese con il rilascio di Android 2.3.4, anche se tale versione (e forse anche Android 3) continua a trasmettere in modo poco chiaro i dati sensibili degli utenti di Picasa durante le fasi di sincronizzazione col Web.
Se consideriamo che molti dei terminali Android sul mercato non hanno ricevuto aggiornamenti per la versione 2.3.4, e che molti addirittura sono fermi alla 2.2.2, ci si rende conto dell’enorme problema che potrebbe causare la perdita di dati di milioni di utenti dei servizi made in Google. Finora l’unica risposta del colosso di Mountain View è stata che ridurrà i tempi di permanenza in rete del resoconto contenente le password degli utenti.
Non sorprende allora come da più parti, e da diversi mesi, si continui ad affermare come il sistema operativo Android offra sistemi di sicurezza nettamente inferiori a quelli offerti dal diretto concorrente, quell’iOs della Apple che si aggiorna costantemente appena viene scoperta una falla, seppur minima. Solo pochi giorni fa è stato rilasciato un aggiornamento di iOs 4 per risolvere un problema nel sistema di conservazione dei dati di geolocalizzazione in Maps. Open source, in questo caso, non è solo sinonimo di libertà di azione da parte di sviluppatori e tester. Non è un caso che alla Apple, prima di dar il via libera alla pubblicazione di una App sullo Store, si prevedano passaggi burocratici anche molto lunghi.
Anche se questa è la base per mantenere una sorta di monopolio nell’ambito del commercio mobile di settore, è anche un utile mezzo per prevenire applicazioni e software che potrebbero danneggiare la privacy dei suoi utenti. Il discorso viene meno se effettuiamo il cosiddetto “jailbreak” dell’iPhone, che ci consente di avere uno Store parallelo con applicazioni sviluppate al di fuori di quello ufficiale, potenzialmente più vulnerabili ad eventuali attacchi da parte di hacker.
Insomma la scelta dello smartphone deve basarsi anche su questo: sicurezza, privacy e tutela di informazioni personali, e non solo su estetica e design.
