Sicurezza

Smartphone Samsung con falle di sicurezza imbarazzanti

Ci sono due seri problemi di sicurezza sugli smartphone Samsung. Il primo riguarda il sistema Knox, che di recente ha ottenuto l'approvazione della NSA (National Security Agency), e che è stato adottato come standard in Android L; il secondo è stato individuato nella funzione "Find my Mobile". Sono entrambi difetti potenzialmente molto gravi.

Samsung Knox Personal crea uno spazio ben protetto dove stipare le informazioni più sensibili, come i dati riservati dell'azienda, o anche foto piccanti. Queste informazioni sono crittografate, il che dovrebbe dare buone garanzie. Peccato che basti accedere con privilegi di root al telefono per vedere il PIN di accesso in chiaro.

L'informazione proviene da uno sviluppatore che non si è identificato, e che apparentemente ha creato un blog apposta, ma Samsung ha preso la cosa piuttosto seriamente. L'azienda coreana afferma che la versione di Knox Personal esaminata è stata ormai abbandonata, e che le pratiche di sicurezza messe in atto rispettano gli standard più rigidi.

Il post pubblicato da Samsung spiega che ci sono inesattezze nell'analisi iniziale, ma soprattutto specifica che bisognerebbe passare alla nuova versione – vale a dire My Knox. Il botta e risposta continua con lo sviluppatore anonimo che sottolinea come My Knox sia compatibile solo con il Galaxy S5 e il Note 4. I test invece riguardano un Galaxy S4 che ha Knox Personal preinstallato.

L'altro problema è invece certificato nientemeno che dal DHS (Department of Homeland Security): sostanzialmente quando si attiva la funzione Find My Mobile il telefono risulta esposto al controllo remoto, perché il sistema Samsung non verifica correttamente la fonte dei comandi inviati a distanza.

Come con altri strumenti simili, Find My Mobile di Samsung permette di bloccare il telefono a distanza, cancellarlo completamente, individuarne la posizione e altro. È uno strumento fatto per intervenire in caso di smarrimento o furto, ma qualcuno potrebbe usarlo come strumento di attacco.

Samsung Galaxy S5 Samsung Galaxy S5
Samsung Galaxy Note 4 Samsung Galaxy Note 4

La gravità del problema è valutata con un 7,8/10 dal NIST (National Institute of Standards and Technology) e non è quindi da prendere sottogamba. I video dimostrativi sono in effetti piuttosto preoccupanti, e il consiglio al momento è di disabilitare quest'applicazione, eventualmente in favore di qualche alternativa.