Skip navigation

Tag Archives: ClientLogin

Dei ricercatori tedeschi della ULM University sembrano aver scoperto una vulnerabilità seria nei telefoni equipaggiati con Android che permetterebbe a dei malintenzionati di accedere ad alcuni  servizi sul vostro account Google.

Il problema sarebbe una errata implementazione di un protocollo di autenticazione conosciuto come “ClientLogin” nelle versioni Android 2.3.3 e precedenti. Nello specifico quando si inseriscono credenziali valide per l’accesso a google calendar, contacts ed altri servizi, l’interfaccia di programmazione recupera un token di autenticazione trasmesso in chiaro e che memorizza per 14 giorni per permettere l’accesso ai servizi senza l’inserimento delle credenziali (ID e password). In questo contesto, su reti wireless aperte eventuali hacker potrebbero riuscire ad impossessarsi delle credenziali e accedere ai vostri accounts.

E’ bene precisare che questa procedura funziona solo in caso di collegamento a reti WI-FI aperte (non protette).

Per controllare se il vostro telefono o device è tra quelli possibilmente esposti andate su  “Settings > About phone > ” (Impostazioni> Info telefono>) e controllate che la versione sia superiore alla 2.3.3. Se è <= 2.3.3 siete esposti ed il consiglio è di evitare di connettervi a reti WI-FI non protette.