Vulnerabilità nel protocollo di Autenticazione di Google

Un gruppo di ricercatori dell’università ULM Tedesca  ha recentemente rilevato una vulnerabilità nel sistema di autenticazione di Google per dispositivi mobili Android e applicazioni Desktop.

E’ infatti possibile visualizzare l’authToken di un utente collegato ad una rete Wireless nel momento in cui avviene la sincronizzazione remota delle applicazioni Google Calendar, Google Contacts, e Picasa Web Albums.

Tramite l’authToken sarebbe possibile avere il pieno controllo dei dati dell’utente attraverso le API di Google permettendo ad un malintenzionato di cancellare o editare un Contatto o un Impegno e visualizzare il proprio Picasa Web Albums.

Importante specificare che la vulnerabilità è circoscritta esclusivamente alle autenticazioni che avvengono tramite il protocollo HTTP, mentre il protocollo HTTPS risulterebbe indenne a questa vulnerabilità. Purtroppo l’utilizzo di quest’ultimo protocollo è stato introdotto solo dalla versione software 2.3.4 di Android attualmente disponibile solo per i modelli Google Nexus One e Google Nexus S.

Questo metodo potrebbe essere sfruttato in combinata ad un attacco di Ingegneria Sociale, per esempio un avversario lavorativo potrebbe cambiare gli indirizzi di posta elettronica memorizzati nella rubrica della vittima con l’intento di ricevere informazioni confidenziali.

Maggiori informazioni sono reperibili sul sito dell’università a questo collegamento.

  • Email

    Ma Google non aveva già realizzata una patch per mettere in sicurezza questa vulnerabilità ??’

    •  La patch è stata rilasciata il giorno successivo a questo articolo, non ho però ulteriori dettagli.