I responsabili di Google hanno dichiarato che l’azienda ha già iniziato “la distribuzione di un aggiornamento correttivo capace di sanare una potenziale falla di sicurezza che potrebbe permettere ad altri utenti l’accesso ai dati gestiti dalle applicazioni Calendar e Contacts“. La problematica alla quale viene fatto riferimento è quella emersa appena qualche giorno fa in Android (ved. questo nostro articolo).
Secondo quanto rivelato, gli utenti non dovranno fare alcunché per proteggersi adeguatamente dal momento che la patch sarà rilasciata, a livello globale, nelle prossime ore.
I tecnici del colosso di Mountain View, tuttavia, non hanno spiegato in che modo il problema sia stato risolto. Secondo alcune indiscrezioni, Google effettuerà una riconfiguazione dei propri server in modo tale da forzare l’utilizzo del protocollo HTTPS durante le operazioni di sicronizzazione delle voci del calendario e dei contatti.
Nel caso di Picasa, invece, quella indicata dalle voci di corridoio non sembra essere una strada percorribile: Google potrebbe quindi essere al lavoro su una soluzione alternativa. L’applicazione Picasa per i dispositivi Android, tra l’altro, continua a trasmettere i token di autenticazione sotto forma di testo in chiaro, anche nella versione più recente.
Secondo quanto evidenziato dai ricercatori dell’università tedesca Ulm, allo stato attuale i malintenzionati potrebbero intercettare i token di autenticazione per guadagnare l’accesso, in modo non autorizzato, agli account dell’utente, sottrarre informazioni ed applicare modifiche arbitrarie. L’attacco potrebbe avvenire, ad esempio, durante l’utilizzo di un dispositivo Android affetto dal problema su una connessione Wi-Fi pubblica: agli aggressori è sufficiente dotarsi di un software di “packet sniffing” come WireShark per intercettare tutti i dati d’interesse.