Android: dati cifrati ma in pericolo
Un esperto di sicurezza avrebbe recentemente segnalato la presenza di due falle nel sistema per la crifratura dei dati utilizzato dal sistema operativo mobile Android. Tali vulnerabilità coinvolgerebbero in particolare la Full Disk Encryption che dovrebbe garantire l'inaccessibilità dei dati grazie alla crittografia ma, di fatto, sembrerebbe non gestire le chiavi di criptazione in modo adeguato.
In sostanza le problematiche individuate farebbero riferimento a circa un terzo dei device gestiti tamite il Robottino Verde, quelli che hanno in dotazione un processore realizzato dalla Qualcomm. In essi un utente malintenzionato potrebbe accedere alla marter key per la crittografia delle informazioni rendendo di fatto violabile qualsiasi contenuto.
Se infatti i dispositiivi iOS della Casa di Cupertino adottano una soluzione basata sulla memorizzazione delle chiavi in un apposito chip, e quindi a livello hardware, i SoC ARM di Qualcomm sfruttano una TrustZone che opera a livello software, questo significa che un exploit dedicato potrebbe in teoria bypassare i sistemi di sicurezza a protezione dei dati.
In pratica, in Android la registrazione delle chiavi a livello hardware viene soltanto emulata, o per meglio dire demandata ad una componente denominata SHK, utilizzabile come chiave secondaria che non ha il compito di procedere con il blocco di un device, quindi può essere violata tramite un attacco basato sulla "brute force ".
I possessori di dispositivi basati su versioni recenti di Android dovrebbero dormire sogni tranquilli, ammesso che abbiano aggiornato regolarmente i propri dispositivi; chi invece utilizza una release più datata potrebbe disporre di un device compatibile con le patch rilasciate a gennaio e maggio 2016 per la correzione delle due vulnerabilità ora pubbliche.
