image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale) TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è...
Immagine di Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci Non solo polvere: questo aspirapolvere rimuove anche i liqui...

Android si fa rubare le nostre password, solo KitKat è sicuro

Una vulnerabilità scoperta in Android permette l'estrazione di password e chiavi crittografiche.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Pubblicato il 30/06/2014 alle 11:36 - Aggiornato il 15/03/2015 alle 01:51

L'86% dei prodotti Android, cioè tutti quelli che non hanno KitKat, hanno una falla nel sistema che protegge i dati più sensibili. Le informazioni a rischio includono chiavi crittografiche come quelle usate per proteggere gli account bancari, l'accesso alle VPN o lo stesso codice PIN usato per accedere al dispositivo.

Il problema, spiega Dan Goodin di Ars Techinca, risiede in Android Keystore, "un'area molto sensibile del sistema operativo dedicato alla conservazione di chiavi crittografiche e altre credenziali". Ebbene, dei ricercatori in forza a IBM hanno scoperto che le informazioni conservate in quest'area si possono estrarre con attacchi mirati.

"Parlando in generale", spiega lo specialista Dan Wallach (Rice University), "se riesci a violare il KeyStore puoi accedere al posto dell'utente a tutti i servizi relativi alle app installate, o almeno per quelle applicazioni che ricordano chi sei e eseguono automaticamente l'accesso senza richiedere la password. Ciò significa che la maggior parte delle applicazioni bancarie, che richiedono la password tutte le volte, sono probabilmente al sicuro".

In altre parole questo attacco permetterebbe di sottrarre tutte le password salvate nel dispositivo, tranne che per quelle applicazioni che richiedono l'inserimento dei dati a ogni avvio. Posta elettronica, videogiochi, liste di cose da fare, calendari. Tutte le credenziali sono a rischio.

Portare a termine l'attacco non sarebbe semplice, perché Android vanta diversi meccanismi di protezione e riduzione dei rischi. Sarebbe anche necessario sfruttare un'app installata sul dispositivo, ma i criminali più volenterosi e abili potrebbero farcela. Di certo non mancherebbe loro la motivazione, perché stiamo parlando d'informazioni preziosissime con cui potenzialmente ci si potrebbe arricchire.

Il potenziale danno, continua Wallach, dipende quindi molto dalle applicazioni installate. Una cosa è violare l'account Twitter o quello Facebook, un'altra la VPN aziendale. Pau Oliva (ricercatore senior, viaForensics), aggiunge che "un malintenzionato potrebbe sfruttare questa vulnerabilità per generare chiavi RSA, firmarle e verificarle come se fosse il proprietario dello smartphone".

Al momento Google ha risolto il problema solo in Android 4.4, il che lascia a rischio circa l'86% dei prodotti in circolazione. Secondo il reporter di Ars Technica l'azienda potrebbe correggere anche le versioni di Android precedenti agendo su Bouncer, il filtro che controlla le app; ma secondo lui i risultati sarebbero appena sufficienti. 

Follow Valerio Porcu

@ValerioPorcuSegui Tom's Hardware su

Facebook, Twitter, Google+

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    Questo nuovo materiale "vive" e ricostruisce gli edifici
  • #2
    Uso della VRAM ridotto all'osso con la nuova versione del DLSS
  • #3
    Anche Amazon nella rete del “NO IVA”: ecco gli affari nascosti
  • #4
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #5
    Milioni di stampanti in tutto il mondo a rischio sicurezza
  • #6
    Questa è la tech che salverà le schede video da 8GB
Articolo 1 di 5
Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci
Proscenic F20A è un aspirapolvere senza fili 3 in 1 con coupon da 50€ di sconto da selezionare su Amazon, che lo porta a soli 219€.
Immagine di Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci
Leggi questo articolo
Articolo 2 di 5
TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale)
Offerta imperdibile per la smart TV Hisense 55A8DN OLED 4K 55 pollici con tecnologia Dolby Vision IQ e 120Hz. Su Amazon sotto gli 800€!
Immagine di TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale)
Leggi questo articolo
Articolo 3 di 5
Il colore conta: lo smart speaker Sonos bianco ha oltre 40€ di sconto
A volte il colore fa la differenza: questo smart speaker Sonos bianco è scontato di oltre 40€ al momento del pagamento, permettendovi di prenderlo a 187€.
Immagine di Il colore conta: lo smart speaker Sonos bianco ha oltre 40€ di sconto
Leggi questo articolo
Articolo 4 di 5
Passerai l’estate a giocare? Fallo con le cuffie HyperX, oggi in offerta
Buona offerta da Amazon sulle HyperX Cloud III Wireless, in sconto da 179,99€ a 119,99€, cuffie gaming con 120 ore di autonomia e audio DTS Spatial.
Immagine di Passerai l’estate a giocare? Fallo con le cuffie HyperX, oggi in offerta
Leggi questo articolo
Articolo 5 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.