twitter androidgalaxys.net feed rss androidgalaxys.net youtube androidgalaxys.net email androidgalaxys.net

Nov 152012
 

 

Negli ultimi giorni su moltissimi blog del settore è stata riportata una notizia piuttosto allarmante che riguarderebbe una presunta falla di sicurezza dei Galaxy con alcune app della Samsung (es. S-Memo).

Non è certamente la prima volta che vengono riportate cose sul web senza effettuare prima le dovute verifiche o approfondimenti, soprattutto su argomenti così delicati.

Ma questa volta la fonte primaria della disinformazione è niente di meno che il noto portale Xda.

Il 10 novembre, un Recognized Developer del forum curiosando all’interno di in un database di sistema dell’app SMemo, è rimasto scioccato dal fatto che i dati dell’account Google (nome utente e password) utilizzati dal programma Samsung nel processo di sincronizzazione delle note con GDrive, vengano conservati in chiaro e non i maniera cifrata (es. paperino anzichè %/lljo55#6).

Tutto questo è stato subito definito come un problema molto grave in quanto qualunque applicazione installata, anche senza permessi di root, potrebbe accedere facilmente ai dati in questione (archiviati in /data/data/com.sec.android.provider.smemo/databases).

Ma ciò non è assolutamente vero, a causa dei meccanismi previsti dall’Application Sandbox, una delle tante misure di sicurezza presenti su Android.
Ogni componente software di android appartenente allo stack delle librerie, framework o applicazioni, gira in processi separati e isolati tra loro.
Questo vuol dire quindi che ogni applicazione non può vedere affatto i dati delle altre, a meno che non venga dichiarato apertamente nel codice quello che deve essere realmente condiviso.
La notizia è stata subito riportata dalla redazione di Xda nel loro blog, questa volta attribuendo però il rischio ai permessi di root abilitati e puntando il dito contro gli sviluppatori che usano questo tipo di gestione.

Se bastasse davvero la presenza del solo root, una password criptata risulterebbe sempre del tutto inutile.
La chiave infatti verrebbe conservata all’interno del telefono e un malintenzionato potrebbe riuscire a ricavarla o intercettarla durante la conversione.

La spiegazione è molto più complessa e non può essere trattata all’interno di un solo articolo.
I sistemi di sicurezza implementati su android sono diversi e non devono essere sottovalutati facilmente, come spesso avviene nei vari blog del settore.

Fortunatamente la documentazione è accessibile a tutti e basterebbe verificarla prima di fare inutili allarmismi.

Android non sarà sicuramente inviolabile, ma per arrecare dei seri danni al sistema si dovrebbe compromettere la sicurezza dell’intera architettura software, kernel linux compreso.

Tra l’altro la gestione delle password in chiaro non riguarda solo le app di Samsung o quelle di moltissimi altri sviluppatori, ma viene utilizzata anche dalla stessa Google.
E già in passato diversi membri del team di sviluppo di Android sono intervenuti per chiarire la questione.
Che cosa avrebbe pensato quel membro di Xda se avesse controllato il database accounts.db, ossia quello utilizzato da android per inserire i dati di tutti i vari account?

La via più semplice per ottenere questi dati è quella di impossessarsi dello smartphone, effettuare il root, sapere dove andare a guardare e capire che programma utilizzare per riuscire a prendere il file.

Ma arrivati a questo punto, siamo proprio sicuri di non avere alcun documento personale e importante conservato all’interno della memoria del telefono?