Render semplici le cose è difficile e il sistema di backup di Google rientra in pieno in questa definizione. Quando l'opzione "Backup dei miei dati" viene attivata su di un dispositivo Android, un bel po' di dati vengono inviati ai server di Google. Tra questi, troviamo le password Wi-Fi che vengono inviate in formato di testo normale. Si per sé, non una grande notizia, ma ci sono alcune implicazioni che val la pena di analizzare.
Innanzitutto, se le password non sono cifrate sui server di Google, le autorità possono richiederle al colosso americano per scopi investigativi. Anche questo dato non ci sembra granché, ma dato che si è molto parlato del famoso "datagate", valeva la pena puntualizzarlo. In secondo, e più pericoloso, luogo, la funzione di backup non richiede password dedicate per essere utilizzata.
Quanto è comodo comprare un nuovo smartphone, inserire una password, attendere qualche minuto e ritrovarsi tutto configurato alla perfezione? Troppo... e infatti non poteva durare: i rischi per la sicurezza dei dati sono troppo alti.
Google mette bene in chiaro ciò che gli utenti stanno per fare, descrivendo senza troppe sfumature questa funzione con un chiaro messaggio che recita "Back up ... password Wi-Fi ... sui server di Google", ma quello che è sfuggito a tanti, finora, è che se si resetta un dispositivo Android e poi si effettua il ripristino del backup collegandosi a un account Google, questo dispositivo è pronto per collegarsi a tutte le reti che quell'account conosceva prima del reset . Dato che Google mantiene un database delle reti Wi-Fi di tutto il mondo per scopi di posizionamento, questo in sé è un motivo di preoccupazione, visto che il backup salva anche le password di queste reti.
Il rischio che Google o personale della NSA parcheggino davanti a casa vostra per rovistare nella rete di casa può essere marginale, ma per le imprese che usano il single sign-on procedure, la password Wi-Fi è spesso quella usata per collegarsi al gateway delle email dell'azienda e per l'accesso alle VPN della rete aziendale e quindi ci si ritrova con una password importantissima "libera" nelle nuvole. Le aziende europee probabilmente non sono felici di questo servizio di backup che praticamente consentirebbe ai servizi segreti americani di accedere alle loro reti con il minimo sforzo.
Alcune Università hanno già adottato misure preventive per combattere il problema. Ad esempio l' Università di Passau, in Germania, ha avvertito i suoi utenti che " vieta l'invio di password a terzi (anche se ciò avviene automaticamente)" ed esorta gli utenti a "disabilitare questa funzione e cambiare tutte le password memorizzate sul dispositivo ". Troviamo comunque piuttosto divertente l'idea di vietare qualcosa che accade automaticamente, ma l'idea di base non è malvagia.
Non è chiaro come un problema così grande sia sfuggito all'analisi di un'azienda che si occupa di sicurezza così tanto come Google, soprattutto se si considerano gli sforzi più recenti per tutelare i dati personali degli utenti, ma nel momento in cui scriviamo la procedura è ancora quella. Siamo pronti a scommettere che entro breve verrà importato su Android lo stesso sistema già presente in Chrome che protegge la sincronizzazione con la nuvola tramite una password nota solo all'utente.
Fino ad allora, Apple potrà gloriarsi di esser stata un passo avanti. Infatti su iOS le password per accedere a iTunes, alle reti Wi-Fi e agli altri servizi sono tutte contenute in un "portachiavi elettronico". Questo "portachiavi" è presente anche in iCloud, ma è criptato con una chiave che è cablata nel dispositivo e non può essere letta al fuori di esso. Apple promette ai propri utenti che né Apple né i suoi fornitori hanno una copia della chiave AES a 256 bit. Di conseguenza, le password possono essere ripristinate solo sullo stesso dispositivo da cui sono stati create, visto che solo esso è in grado di decifrare il "portachiavi cifrato".