Di solito, quando ci apprestiamo a vendere come usato il nostro smartphone Android o a passarlo a un amico o a un famigliare, facciamo un reset del dispositivo per cancellare tutti i dati personali, ma in realtà questo procedimento potrebbe non bastare per consegnare un telefono “vergine” e del tutto privo dei nostri dati.

A sostenerlo sono i ricercatori Laurent Simon e Ross Anderson dell’Unversità di Cambridge, che hanno hanno preso in esame 21 smartphone di seconda mano acquistati su eBay dal gennaio al maggio dello scorso anno. I dispositivi scelti comprendevano modelli di Samsung, HTC, LG, Motorola e tre Nexus di Google.

Il risultato della ricerca ha evidenziato come da questi smartphone, con versioni di Android comprese tra la 2.3 (Gingerbread) e la 4.3 (Jelly Bean), sia stato possibile recuperare porzioni di email, SMS e stralci di conversazioni di altri sistemi di messaggistica istantanea, i dati di accesso all’account Google e Facebook e altri dati sensibili anche dopo aver effettuato il cosiddetto “factory reset”.

l’unica soluzione per cancellare a fondo i dati di uno smartphone con un factory reset sarebbe proprio il miglioramento di questo meccanismo

Cifrare il proprio smartphone può essere un buon metodo per mitigare il problema, ma non basta. I ricercatori hanno infatti scoperto che in alcuni casi un hacker poteva ottenere diverse informazioni dopo un factory reset oltrepassando la cifratura del telefono tramite tecniche di brute-force. Ecco perché è essenziale per i possessori di uno smartphone Android scegliere una password lunga e complessa per cifrare il telefono, dal momento che il classico PIN di quattro cifre è ormai fin troppo semplice da craccare.

Lo studio ha inoltre stimato che al mondo ci sono fino a 500 milioni di dispositivi su cui non è stata cancellata in modo ottimale la partizione di memoria in cui sono conservati il sistema operativo e i dati sensibili, stima che sale a 630 milioni quando si parla di microSD non formattate e contenenti dati file multimediali come video e foto.

A questo punto l’unica soluzione per eliminare a fondo e totalmente i dati di uno smartphone con un factory reset sarebbe proprio il miglioramento del meccanismo di cancellazione, che però dovrebbe essere compiuto dai produttori stessi di smartphone. I ricercatori hanno infatti stabilito come anche gli strumenti di blocco e cancellazione del dispositivo da remoto non rappresentino una valida alternativa, visto che sono limitati in quello che possono fare dall’architettura del sistema operativo e dalle API.

Lo studio, fermandosi a smartphone con Android 4.3, non specifica però se siano avvenuti miglioramenti su questo versante con l’arrivo di Android 5.0 e release successive e la stessa Google non ha ancora risposto sulla questione.