Ad essere finito sul banco degli accusati sarebbe il servizio ClientLogin, che diversi servizi offerti da Google e implementati su Android come Google Contacts e Google Calendar, utilizzano come protocollo di autenticazione, che ha però il suo limite nel fatto di consentire l’invio dei dati d’accesso degli utenti in chiaro, senza mettere a frutto i vantaggi che le connessioni cifrate consentono di avere, come ad esempio la connessione protetta tramite lo standard HTTPS.
Inoltre, se si aggiunge che ClientLogin è utilizzato spesso da numerose applicazioni sviluppate da terzi, si ha un quadro chiaro della portata potenzialmente rischiosa che l’impiego di questo sistema può comportare, fino a consentire l’accesso non autorizzato agli account su numerosi servizi ai criminali informatici che dovessero appropriarsi dei dati di login degli utenti magari sfruttando una rete Wi-Fi pubblica a cui ci si potrebbe connettere.
Nonostante la portata del problema, va precisato che non tutte le versioni di Android sono a rischio. Secondo quanto spiegato dai ricercatori, la versione più recente del sistema operativo di Google, identificata con la dicitura 2.3.4, è al riparo da questa vulnerabilità ed è pertanto consigliabile a tutti gli utenti di eseguire l’aggiornamento nel più breve tempo possibile.
fonte:omeitsecurity.it