Google ha cominciato la distribuzione di un aggiornamento che sana una falla sull’accesso di Calendar e Contacts.
I responsabili di Google hanno dichiarato che l’azienda ha già iniziato “la distribuzione di un aggiornamento correttivo capace di sanare una potenziale falla di sicurezza che potrebbe permettere ad altri utenti l’accesso ai dati gestiti dalle applicazioni Calendar e Contacts“.
La vulnerabilità, scoperta dall’università tedesca Ulm, consentirebbe ad un malintenzionato di guadagnare l’accesso agli account Google Calendar, Picasa Web Album e Google Contact appartenenti ad altri utenti.
La vulnerabilità
La problematica affonda le sue radici nel fatto che il token di autenticazione, ricevuto durante la fase di login ai server di Google, viene successivamente trasmesso dalle varie applicazioni utilizzando testo in chiaro.
Un aggressore che si trovasse connesso alla medesima rete locale, quindi, potrebbe agevolmente sottrarre il token altrui ed accedere in modo non autorizzato ad account che non gli appartengono, semplicemente sfruttando le API di Google.
La soluzione
Secondo quanto rivelato, gli utenti non dovranno fare alcunché per proteggersi adeguatamente dal momento che la patch sarà rilasciata, a livello globale, nelle prossime ore.
I tecnici del colosso di Mountain View, tuttavia, non hanno spiegato in che modo il problema sia stato risolto. Secondo alcune indiscrezioni, Google effettuerà una riconfiguazione dei propri server in modo tale da forzare l’utilizzo del protocollo HTTPS durante le operazioni di sicronizzazione delle voci del calendario e dei contatti.
Nel caso di Picasa, invece, quella indicata dalle voci di corridoio non sembra essere una strada percorribile: Google potrebbe quindi essere al lavoro su una soluzione alternativa. L’applicazione Picasa per i dispositivi Android, tra l’altro, continua a trasmettere i token di autenticazione sotto forma di testo in chiaro, anche nella versione più recente.
Secondo quanto evidenziato dai ricercatori dell’università tedesca Ulm, allo stato attuale i malintenzionati potrebbero intercettare i token di autenticazione per guadagnare l’accesso, in modo non autorizzato, agli account dell’utente, sottrarre informazioni ed applicare modifiche arbitrarie. L’attacco potrebbe avvenire, ad esempio, durante l’utilizzo di un dispositivo Android affetto dal problema su una connessione Wi-Fi pubblica: agli aggressori è sufficiente dotarsi di un software di “packet sniffing” come WireShark per intercettare tutti i dati d’interesse.
