Google sta rilasciando le versioni Developer Preview di Android P, il suo prossimo sistema operativo, le quali stanno passando sotto l’occhio attento degli sviluppatori e dei curiosi in cerca di novità. Proprio spulciando il codice del sistema operativo si è scoperto che la versione definitiva dell’OS potrebbe non supportare il WPS (Wi-Fi Protected Setup).

La supposizione è stata fatta dopo che sono state notate delle righe di codice relative allo standard di connessione WPS che non sono state più aggiornate e supportate da Google, come se fossero relative ad una funzione da non considerare e da eliminare.

Che cos’è il WPS e a cosa serve

WPS Android P (1)

Lo standard Wi-Fi Protected Setup nasce nel 2006, quando viene ideato e lanciato da Wi-Fi Alliance, organizzazione leader nel settore delle reti Wireless. Si tratta di uno standard di sicurezza utilizzato per realizzare una connessione sicura ad una rete Wi-Fi di tipo domestico.

Lo scopo del WPS è quello di velocizzare le operazioni di connessione. Il funzionamento è semplice, basta cliccare l’apposito pulsante sul modem o sul router e, contemporaneamente, attivare la funzione WPS sul dispositivo con cui si desidera effettuare la connessione. Esiste anche un metodo di connessione alternativo, che utilizza un PIN formato da otto cifre.

Perché potremmo dire addio al WPS su Android P

WPS Android P (2)

L’assenza di supporto al WPS riscontrata nel codice di Android P è stata segnalata tramite Google Issue Tracker. Uno sviluppatore di Google ha risposto dicendo che il problema sarebbe stato preso in esame e, successivamente, sarebbero stati forniti ulteriori chiarimenti al riguardo. Nonostante questi chiarimenti non ci siano ancora, si pensa che l’esclusione del WPS dalla versione definitiva del sistema operativo sia cosa certa.

Questo perché si tratta di uno standard facilmente vulnerabile, che non riesce a garantire la sicurezza delle connessioni, per colpa del modo in cui i modem e i router controllano il PIN a otto cifre. Ogni modem o router “divide” il PIN in due parti e controlla quattro cifre alla volta. Questo consente di eseguire un attacco brute force, ovvero una tipologia di attacco informatico che prova tutte le combinazioni fino a quando non trova quella corrispondente, in molto meno tempo.

Un esempio delle tempistiche di un attacco brute force contro un codice PIN impostato su iOS lo abbiamo dal tweet di Matthew Green, un assistente professore e crittografo presso il John Hopkins Information Security Institute.

Un qualsiasi software progettato per sferrare questo tipo di attacco trova inizialmente la combinazione delle prime quattro cifre, per poi concentrarsi sulle seconde quattro. Questo riduce drasticamente il tempo impiegato rispetto ad un attacco su un PIN di otto cifre. Si passa da più di un mese a qualche ora per completare l’attacco. Inoltre, possiamo immaginare di quanto ancora potrebbero ridursi i tempi se si facessero lavorare due software contemporaneamente, uno per ogni gruppo di quattro cifre.

Per questo, la decisione di Google di non supportare più lo standard WPS sarebbe giusta e garantirebbe delle connessioni Wi-Fi più sicure.