Aggiornamento, mercoledì alle 11:45 PT: Google ha emesso una correzione che obbliga le app Google interessate a connettersi tramite il protocollo HTTPS protetto. Finché aggiorni le tue app quando la correzione viene eliminata, questa vulnerabilità del Wi-Fi pubblico non influirà su di te. Fino ad allora, è meglio utilizzare il Wi-Fi pubblico con estrema cautela o seguire le istruzioni riportate di seguito.

I telefoni e i tablet Android con versione 2.3.3 e precedenti soffrono di una vulnerabilità di calendario e di contatto sulle reti Wi-Fi pubbliche, secondo un nuovo rapporto. Tuttavia, ci sono alcuni passi concreti che puoi intraprendere per proteggerti.

Ecco come funziona. La vulnerabilità è nell'API del protocollo ClientLogin, che semplifica il modo in cui l'app Google comunica con i server di Google. Le applicazioni richiedono l'accesso inviando un nome account e una password tramite connessione protetta e l'accesso è valido per un massimo di due settimane. Se l'autenticazione viene inviata su HTTP non crittografato, un utente malintenzionato potrebbe utilizzare il software di sniffing della rete per rubarlo su una rete pubblica legittima, o effettuare lo spoofing della rete interamente utilizzando una rete pubblica con un nome comune, come "aeroporto" o "biblioteca". Anche se questo non funzionerà su Android 2.3.4 o versioni successive, incluso Honeycomb 3.0, copre solo l'1% dei dispositivi in ​​uso.

Naturalmente, la soluzione più sicura è quella di evitare l'utilizzo di reti Wi-Fi pubbliche e non crittografate passando a reti mobili 3G e 4G quando possibile. Ma non è sempre un'opzione, soprattutto per i proprietari di tablet Wi-Fi-only o quelli con piani dati stretti.

Un'opzione legittima se minuziosa consiste nel disabilitare la sincronizzazione per le app Google interessate quando sono connesse tramite Wi-Fi pubblico. Il rischio per la sicurezza riguarda le app che si collegano al cloud utilizzando un protocollo chiamato authToken, non HTTPS. Le app testate dai ricercatori che hanno scritto il rapporto rivelando la vulnerabilità inclusi Contatti, Calendario e Picasa. Gmail non è vulnerabile perché utilizza HTTPS.

Tuttavia, si tratta di una soluzione ingombrante, poiché richiede l'accesso a ciascuna app prima della connessione e la disabilitazione manuale della sincronizzazione durante il periodo in cui ci si trova nella particolare rete Wi-Fi pubblica. Una soluzione molto più semplice è usare un'app. Una delle migliori app per la comunicazione sicura è SSH Tunnel (download), progettata per gli utenti Android bloccati dietro il Great Firewall of China. Il Tunnel SSH ha alcune limitazioni: è necessario utilizzare il root per utilizzare il telefono e i produttori consigliano vivamente alle persone non in Cina di cercare altrove un'app di tunneling sicura.

Una soluzione migliore sembra essere ConnectBot (download), che offre anche una versione dal suo sito Web che supporta versioni pre-Cupcake di Android.

Gli utenti di ROM personalizzate di terze parti come CyanogenMod dovrebbero verificare quali miglioramenti di sicurezza hanno la loro ROM installata. CyanogenMod, ad esempio, ha il supporto VPN integrato e disattivato. Gli utenti di Cyanogen possono accedervi dal menu Impostazioni, toccare Wireless e Impostazioni di rete, quindi toccare Impostazioni VPN.

Data la frammentazione sui dispositivi Android, si tratta di un grave rischio per la sicurezza che viene mitigato solo dalla sua limitazione a specifiche app e reti pubbliche. La soluzione ideale è che Google rilasci le correzioni delle app o gli aggiornamenti Android il prima possibile, sebbene la società non abbia fornito alcuna indicazione su quali passi intende intraprendere o quando. Come sempre quando si utilizzano reti Wi-Fi pubbliche, procedere con cautela.