Il taccuino di Armando Leotta Rotating Header Image

Cara Google, sui tuoi server anche la mia chiave WPA2 wi-fi?

Oggi è entrato in casa l’ennesimo gioiellino Android, un Galaxy Nexus: benvenuto ICS, Ice Cream Sandwich.

Pensavo di fare un classico unpacking riassumendo le prime impressioni su questo splendido apparato ma sono stato distratto.

Appena acceso ho effettuato la sincronizzazione e profilazione dell’account Gmail via 3G.

Splendido, funzionava tutto al primo tentativo senza alcuno sforzo.

Appena arrivo in casa, aggancia il wi-fi immediatamente: spettacolo.

Uh che strano, non mi chiede la password.

Clicca per ingrandire

La “perplessità” nasce dal fatto che la password c’è eccome e quel telefono ancora con la pellicola sullo schermo di sicuro non la conosce dovrebbe conoscere.

La connessione è perfettamente funzionante.

Controllo il pannello di configurazione della rete wifi e scopro un ulteriore tassello: le reti “fuori portata“.

Clicca per ingrandire

Apparecchio nuovo: quali sarebbero le reti “fuori portata“?

Facile: reti utilizzate in vacanza e distanti da me in questo momento tra i 500 e gli 800 Km!

Cliccando su una delle reti “fuori portata” si vede che ha associata una passphrase:

Clicca per ingrandire

 

Cara Google, magari sarà scritto in qualche meandro remoto delle condizioni contrattuali e d’uso del sistema operativo e/o dei servizi offerti.

Certo è che non capisco perchè tu debba annotare sui TUOI server gli access point ai quali IO mi collego e, peggio, perchè salvi anche la relativa passphrase.

Posso capire il servizio lamer proof ma salvarsi le mie passphrase sui tuoi server, onestamente, non mi piace neanche un po’.

P.S.: Finalmente hanno capito che può essere utile effettuare un banale screenshot senza dover rootare il dispositivo

Be Sociable, Share!
  • Mi è appena sfuggita un’imprecazione sonora.

    • Credo di intuire: dev’essere amica di quelle che si stanno sprecando per casa

  • E’ evidente che durante la creazione del profilo sul primo dispositivo Android, in qualche opzione presumo non chiara altrimenti non mi sorprendevo del comportamento, avrò autorizzato in qualche modo questa tipologia di salvataggio. In ogni caso ravvedo tre spunti di riflessione.

    1) se non sono consapevole io di avere scelto questa opzione, a maggior ragione i non addetti ai lavori rischiano di fare la stessa fine
    2)  sicurezza: se mi bucano in qualche modo l’account google difatti possono entrare a casa di tutti i miei amici e gli n mila access point condivisi (e suppongo siano in chiaro/intellegibili altrimenti non potrebbero riconfigurare il dispositivo)
    3) TOS (term of service): non sono particolarmente convinto che salvare le chiavi di crittografia di un hotspot condiviso sia particolarmente gradito dai gestori dello stesso.

  • Stefano Scardovi

    Quando registri un account google sul telefono compare alla schermata successiva una pappardella che inizia con: “Puoi utilizzare il tuo account Google per effettuare il backup di applicazioni, impostazioni (come Segnalibri e password Wi-fi) e di altri dati. […]”

    Mi pare che l’indicazione ci sia e sia ben chiara con una schermata dedicata, non una funzione nascosta.

    Normalmente nei DB le password vengono criptate, restano comunque registrate e ricostruibili. Non vedo perché i dati dei tuoi AP non debbano subire lo stesso trattamento ed essere rigenerate, ad esempio, solo tramite la tua password.

    • Grazie Stefano, non ricordo di aver visto esplicitamente anche password ma evidentemente sarà così e non l’ho notato.
      Forse, anche il fatto stesso di richiedere la memorizzazione della propria password su db esterni richiederebbe anche un’informativa diversa e se vuoi, anche più tecnica e dettagliata. Come viene salvata?
      Se la password viene cifrata con algoritmo simmetrico (ad esempio come ipotizzi tu, con la propria password) ogni qualvolta l’utente cambi la propria password occorrerà “aggiornare” le informazioni salvate per renderle ricostruibili con la nuova password. E se così non fosse, vorrebbe dire che tengono traccia (come? dove?) della storia delle nostre password e dei timestamp del cambiamento stesso. E anche in questo caso si aprirebbero altri fronti di discussioni e osservazioni. Ripeto: va tutto bene, nessuno scoop o altro ma vista la delicatezza delle informazioni salvate e l’impatto della loro eventuale perdita suppongo che qualche chiaro dettaglio in più faceva comodo a tutti.