Craig Young, un ricercatore di Tripwire, è intervenuto a DEF CON 21 – l’evento di Las Vegas, dedicato alla sicurezza informatica – per dimostrare i pericoli dell’autenticazione automatica prevista da Android sui siti di Google. Se siete utenti del sistema operativo e potete utilizzare Chrome, sapete che non occorre inserire il proprio indirizzo e-mail e la password per accedere a Google Accounts: queste sono recuperate automaticamente dal dispositivo, che obbliga a inserirle sul Play Store. Purtroppo, sono anche intercettabili.

Quella che potete vedere nell’immagine è soltanto una delle due modalità d’accesso legate a Chrome: l’altra prevede un’autorizzazione esplicita dell’utente a utilizzare le credenziali salvate sul device. Pure le applicazioni possono accedere a questi dati, bypassando l’intervento dell’utente. E, secondo me, è un approccio davvero molto comodo. Detesto continuare a inserire la password – che, ovviamente, non ricordo a memoria – e apprezzo la rapidità del sistema. La sicurezza, però, ne risente ed è semplice ottenere il controllo.

Per dimostrare la propria tesi, Young ha pubblicato una app sul Play Store e ha ottenuto il token d’autenticazione degli utenti che l’hanno installata — accedendo a Google Accounts e, di conseguenza, ai servizi collegati. Essendo una dimostrazione, il ricercatore ha specificato nei dettagli che gli utenti non avrebbero dovuto scaricarla: quanti malware del genere potrebbero essere già diffusi? Un’alternativa efficace sarebbe nel ricorso al doppio fattore, una pratica più sicura che è prevista da Google e io trovo molto scomoda.