HTC, nota società taiwanese produttrice di smartphone e di altri dispositivi mobili, ha confermato che alcuni dei sui telefoni a cuore Android contengono una vulnerabilità che espone le password delle reti Wi-Fi alle applicazioni installate sul device. Ciò significa che un’applicazione Android malevola potrebbe avere gioco facile per sottrarre le credenziali usate per effettuare il collegamento alle reti wireless usate dall’utente trasmettendo poi i dati sottratti a terzi.
I ricercatori autori della scoperta hanno rilevato che le applicazioni facenti uso del permesso android.permission.ACCESS_WIFI_STATE
possono ottenere la password delle reti Wi-Fi alle quali l’utente avesse via a via connesso il suo smartphone. In particolare, sarebbe sufficiente che l’applicazione invochi il metodo .toString()
della classe WiFiConfiguration
. Nella maggioranza dei dispositivi Google Android, il metodo .toString()
, in corrispondenza del campo legato alla password, lascia uno spazio vuoto oppure degli asterischi (a conferma che è stata impostata una parola chiave, senza però esporla); su alcuni modelli di smartphone HTC, invece, viene purtroppo restituita la password in chiaro.
Secondo quanto rivelato, la falla sarebbe venuta a galla già a settembre ed i ricercatori, sino ad oggi, avrebbero responsabilmente collaborato sia con HTC che con Google per sanare la situazione. Google ha modificato il codice di Android per proteggere in modo di efficace la locazione ove le credenziali d’accesso vengono conservate ed ha poi esaminato le applicazioni distribuite attraverso l’Android Market in modo tale da accertarsi che nessuna di esse abbia fatto leva sulla vulnerabilità.
HTC, invece, ha rilasciato una serie di aggiornamenti espressamente pensati per i possessori dei dispositivi affetti dal problema di sicurezza: Desire HD (FRG83D, GRI40), Glacier (FRG83), Droid Incredible (FRF91), Thunderbolt 4G (FRG83D), Sensation Z710e (GRI40), Sensation 4G (GRI40), Desire S (GRI40), EVO 3D (GRI40) ed EVO 4G (GRI40).