Allarme sicurezza per Android. Alcuni studiosi delle università di Leibniz ad Hannover, in Germania, e della Philpps University di Marburg, hanno portato a termine degli esperimenti nei quali affermano di essere riusciti a carpire dati sensibili. Hanno dichiarato di aver raccolto i dati sui conti correnti, sulle credenziali di pagamento per PayPal, American Express e molti altri.
Inoltre, sono trapelati anche credenziali e messaggi di Facebook, email e dati nel cloud storage, è stato ottenuto accesso alle webcam, e si è accertato che i canali di controllo per applicazioni e i server remoti possono essere cambiati.
I ricercatori si sono mostrati molto preoccupati per le numerose app che permettono la fuoriuscita di dati sensibili a causa di carenze insite nei sistemi di cifratura utilizzati per la protezione dei dati. Le app sarebbero circa una quarantina e sarebbero apparsi dei limiti negli standard SSL e TSL che risulterebbero ancora più evidenti nel campo delle connessioni mobili. Secondo i ricercatori la causa potrebbe essere proprio un’app anti-virus che ha accettato certificati SSL non validi durante l’aggiornamento del proprio database di malware, rendendosi così esposta al rischio di vedere inseriti tra i certificati attendibili quelli di un ipotetico malintenzionato. Comunque non si tratta di vulnerabilità dell’OS ma di applicazioni, magari realizzato da terze parti, o da chi eroga un determinato servizio.
Tra le varie app Android analizzate e trovate “fallate” vengono segnalate, ma in modo estremamente generico una app per l’online banking application“, un popolare e cross-platform servizio di instant messaging, un servizio di cloud storage per 5 milioni di utenti, e l’app per accedere ad un popolare sito con oltre 1 milione di utenti, tutte ovviamente e rigorosamente applicazioni anonime. Una buona protezione, consigliata dagli stessi ricercatori, è quella di utilizzare solo certificati verificati e se la connessione non è sicura raccomandano a Google di visualizzare degli avvertimenti. Questa pratica dovrebbe essere sempre eseguita quando vogliamo scambiare dati sensibili in tutta sicurezza.