La crittografia Android è poco sicura
Matthew Green, docente di crittologia presso l’American University John Hopkins, ha esaminato la crittografia su entrambi i sistemi operativi, Android e iOS. Il primo, finora, ha fatto ricorso alla Full Disk Encryption (FDE), mentre iOS sta già utilizzando la cifratura basata su file (FBE), che Android integra con la versione 7.0.
Quattro livelli contro due
Green afferma come la FDE sia più facile da implementare, ma sia meno adatto per gli smartphone. Permette anche che dei file specifici siano crittografati o meno. La chiave della crittografia è di solito memorizzata nella memoria di lavoro (RAM), ma dato che gli smartphone sono utilizzati sempre e per tutto il giorno, la crittografia “tutto o niente” si rivela meno utile.
Per gli smartphone di Apple, gli sviluppatori possono applicare invece quattro livelli utilizzando una sola API: la crittografia totale (accesso solo se il dispositivo viene attivato e non bloccato); la crittografia fino a quando (dopo un riavvio) una password viene inserita per la prima volta; assenza di cifratura o, ancora, un’opzione speciale per cui i nuovi file (ad esempio immagini, mentre il dispositivo è ancora bloccato) sono crittografati per impostazione predefinita.
Apple fa meglio
Il crittologo ha notato che, sebbene il sistema Apple non sia perfetto, abbia però pensato più approfonditamente al processo di sicurezza. Nel frattempo, Android sta cercando di fare la stessa cosa, ma “a distanza di sicurezza”. In tal modo, uno sviluppatore può scegliere tra il crittografare i file fino a quando l’utente inserisce una password (singolo) e la “memorizzazione criptata del dispositivo”, che non offre la possibilità di una crittografia se il device è attivo e non ancora sbloccato.
Il fatto che Android offra solo due metodi contro i quattro di iOS costituisce un problema per Green. È difficile, infatti, per un’applicazione “sapere” se un dispositivo è bloccato; il che complica la questione e non vi è alcuna protezione aggiuntiva. In realtà, si dovrebbe sapere che le chiavi della crittografia siano memorizzate nella RAM e gli utenti dovrebbero averne una conoscenza quanto più dettagliata possibile. In pratica, questo rimane un compito difficile. E chi è un obiettivo primario per gli hacker, per esempio a causa di alcune informazioni che si trovano sul suo telefono cellulare, può essere facilmente violato se questo è Android.
Grenn ha concluso la sua ricerca dichiarando che Android dovrebbe passare all’azione, ma le sue soluzioni sono le stesse di quelle prese da Apple da almeno un paio di anni. “Android gestisce uno standard incredibilmente basso. Siamo nel 2016 e Android continua ad avere difficoltà e sempre con la crittografia che protegge il sistema di blocco dello schermo (lockscreen), mentre Apple lo ha già fatto da almeno sei anni. E la stessa Apple non riesce neppure a farlo ancora correttamente. Non è una buona cosa per la sicurezza a lungo termine per i dispositivi Android“, conclude il crittologo.
