Scienze e Tecnologia

Sistemi Android a rischio phishing: allarme dell'università di Genova

Il pericolo nasce dalla combinazione di Instant Apps e password manager, i sistemi che salvano le credenziali di accesso per siti e applicazioni Android

Sistemi Android a rischio phishing: allarme dell'università di Genova

I sistemi Android sono a rischio di phishing. A rivelare le minacce del sistema è stato un team dell’Università di Genova composto dal professor Alessio Merlo, Simone Aonzo e Giulio Tavella, del gruppo cybersecurity del Dibris, in collaborazione con Yanick Fratantonio di Eurecom.

La vulnerabilità nasce da una combinazione della nuova tecnologia Instant Apps per nuovi telefoni Android e i password manager, cioè i sistemi che memorizzano le credenziali di accesso automaticamente. Da questa "miscela" nasce l'esposizione ad attacchi di phishing che permettono il furto di credenziali per servizi critici, come l'home banking e i social network, ma anche servizi istituzionali.

Come riporta Il Corriere della Sera, "l’attacco permette di ingannare l’utente e forzare i password manager ad inviare le credenziali ad un’applicazione malevola, senza la necessità di installare la stessa sullo smartphone. Tale attacco rende attualmente inaffidabile l’utilizzo dei password manager su Android, usati da decine di milioni di utenti nel mondo, ed il cui utilizzo è in continua crescita". E Google, con cui il team ha già condiviso i risultati della ricerca, si è già messa in moto: anche se conferma che il problema non deriva dalle piattaforme Android ma da terze parti delle applicazioni.

"Attualmente esiste una soluzione tecnica al problema che permetterebbe di rendere sicure le associazioni alla base dei password manager su Android. Tale tecnologia, che prende il nome di App Link Verification, permette agli sviluppatori di associare il nome della loro applicazione al corrispondente dominio web in modo sicuro e verificabile. Tuttavia, la nostra ricerca ha evidenziato che attualmente questa tecnologia è adottata da appena il 2% delle applicazioni Android che vengono auto-completate dagli attuali password manager, rendendo quindi gli autocompletamenti delle restanti applicazioni passibili dell’attacco di phishing descritto in precedenza", spiega il professor Merlo.

"Dal momento che l’unica soluzione definitiva al problema è quella di forzare gli sviluppatori di applicazioni Android ad usare l’App Link Verification, la messa in sicurezza delle associazioni alla base dei password manager richiederà tempo ed uno sforzo collaborativo comune tra le comunità Web e Android".

E per adesso, l'unico verso consiglio del professore è quello di evitare il più possibile l'installazione di applicazioni di terze parti da link.

Commenti