Se state pensando di rivendere un vecchio smartphone Android, pensateci due volte. Almeno se il modello in questione ha a bordo versioni dalla 2.3 alla 4.3 del sistema operativo di Google, versioni tutt’altro che a prova di privacy: così sostengono i ricercatori dell’Università di Cambridge, attraverso uno studio che ha dimostrato come sia possibile recuperare il token di accesso al profilo Google anche su terminali opportunamente svuotati di contenuti e resettati. Con in mano la chiave primaria, un eventuale spione o malintenzionato potrebbe risincronizzare lo smartphone con l’account Google del precedente proprietario e da qui risalire a email, Sms, contatti, contenuti alloggiati in cloud e ulteriori password.
Il team guidato da Laurent Simon e Ross Anderson ha provato a recuperare il token su 21 telefoni Android (Gingerbread, Ice Cream Sandwick e Jelly Bean), inclusi modelli di Samsung, Htc, LG e Motorola e Google Nexus, acquistati su eBay fra gennaio e marzo dello scorso anno. Risultato: nell’80% dei casi l’operazione è riuscita. In alcuni casi, oltre al token di accesso al profilo Google è stato anche possibile recuperare anche il token di accesso all’app di Facebook, porzioni di email e di Sms.
Sul perché l’opera di cancellazione sia fallita, i ricercatori hanno citato “ragioni complesse”. “I telefoni più recenti”, scrive Anderson, “sono generalmente migliori di quelli più datati, e i modelli a marchio Google sono migliori di quelli degli Oem. In ogni caso, i vendor dovrebbero compiere un bel po’ di lavoro, mentre gli utenti dovrebbero prendere precauzioni”.
A tal proposito, una delle possibili risposte al problema può essere l’encryption dell’intero contenuto del telefono (memoria interna ed eventualmente scheda microSD), operazione che gli utenti Android possono svolgere in poche mosse dalla voce “Sicurezza” del menu “Impostazioni”, richiedendo un Pin numerico con cui decrittare i contenuti ogni volta. Ancora una volta, però, l’accortezza potrebbe non funzionare perché alcune password a quattro cifre, a detta dei ricercatori, sono facili da espugnare. Inoltre non tutti i modelli, fra quelli messi alla prova, consentono di crittografare anche il contenuto delle espansioni di memoria microSD.
Secondo i ricercatori di Cambridge, una stima dei telefoni Android a rischio di furto dati “post resettaggio” si aggira intorno ai 500 milioni di terminali, considerando soltanto quelli che potrebbero non cancellare propriamente i dati delle app. Considerando anche le schede miscro SD, il numero degli smartphone che potrebbero lasciare delle tracce dei contenuti cancellati arriva a 630 milioni.