Alcuni ricercatori dell’Università Tedesca Ulm hanno scoperto che la maggior parte dei terminali con OS Android sono vulnerabili ad attacchi di “impersonificazione”. Queste falle permettono di rubare le credenziali dell’utente per “impersonificarlo” ed accedere al calendario, contatti, messaggi e tutti i dati salvati sui server Google. La colpa della vulnerabilità va attribuita ad un’implementazione impropria del protocollo di autenticazione noto come ClientLogin.
L’implementazione è limitata ad Android 2.3.3 e successivi. Quando un utente effettua il log in, inserisce credenziali valide per applicazioni quali Google Calendar o i Contatti. L’autenticazione viene inviata in cleartext, lasciando aperto per 14 giorni uno spiraglio per il recupero della stessa a chiunque voglia sferrare un attacco. Secondo i ricercatori, effettuare l’attacco è molto semplice e richiede reti non criptate.
Per raccogliere questi authTokens su larga scala, un avversario potrebbe settare un access point wifi con un SSID comune (evil twin) di una rete wireless non criptata, ad esempio T-Mobile, attwifi, Starbucks. Con i settaggi di default, i telefoni Android si connettono automaticamente alla rete già conosciuta e le applicazioni tenteranno immediatamente di sincronizzarsi. Mentre la sincronizzazione fallirà, l’avversario catturerà gli authTokens per ogni servizio.
La soluzione sarebbe quella di criptare il traffico utilizzando ClientLogin o diminuire il tempo di validità degli authTokens, o ancora limitare le richieste ClientLogin alle connessioni sicure. Google ha comunque dichiarato di essere al lavoro sul problema per rilasciare un aggiornamento il prima possibile.
[Via UniUlm]
Seguici
mobileblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Mobileblog.it contattare la concessionaria esclusiva Populis Engage.
ex nokiafan
18 mag 2011 - 18:18 - #1ma pensa te … in questi due giorni, si legge dappertutto che android è bacato quà e là …. orribile android! eccetera eccetera!
finalmente c’è un articolo che dice cosa fare, in che cosa consiste l’attacco .. e si tratta di avere una rete non protetta con il nome uguale a qualcuna in cui ci si è già connessi!
pensandoci un pò … le possibiltà che l’attacco sono praticamente nulle!
1) deve esserci una rete aperta … e già qui non è che se ne trovano + tante!
2) la rete deve avere lo stesso sid di un’altra rete aperta in precedenza, e già qui è ancora meno!
3) il telefono deve avere il wifi acceso .. ma non connesso .. cosa che spengo sempre perchè a me ciuccia batteria in maniera impressionante!
4) access point truccato che intercetti le chiamate a gmail e le logghi (e già qui mi verrebbe da chiedere … ma google ha rotto tanto per impostare l’https di default su gmail e proprio su android non lo usa? non credo!)
ora sarò io che son sfigato .. ma cambio almeno una volta al mese il sid e il canale wifi del mio router … grazie ai vicini lamerozzi che non hanno niente di meglio da fare che tentare di craccare la mia rete.
eppur sanno che se semplicemente me lo chiedessero non avrei problemi a condividere la rete, tant’è che quando avevo il router de la fonera la usavano, e devi essere proprio stupido per stare una giornata piena a craccare una rete il cui sid vale “chiedimi” dopo un ora vale “accesso” e poi “rete”, “numero” “3451233313″
(col mio vero numero di telefono)
ora poi c’è da dire che anche col wpa scrauso di fastweb … quando ho cambiato hag, per sbrigarmi ho avuto la bella idea di reimpostare sid e pwd pari al precedente, tanto per evitare la fatica di reinserire la pwd sul pc (in tutti i sistemi operativi installati) e cellulari: col cavolo che ha funzionato!
sia su window … che sul vecchio nokia 5800 ho dovuto rifare da 0 la configurazione rete .. mettendo lo stesso sid e la stessa pwd
pari a quelle memorizzate! quindi penso che con le reti protette st’attacco non varrebbe!
albaone
18 mag 2011 - 18:59 - #2oddio…!!! Probabilmente hai ragione @exnokiafan, ma non tutti sono esperti e ” scafati” con le tecnologie e quando apri il giornale e vedi due bulgari davanti ad un bancomat clonare in pochii minuti decine di carte mandando i dati ad un server del loro paese che li rimbalzava a Miami dove veneivano materialmente fatti i prelievi, beh sai qualche paura ti viene, android o non android.