Una ricerca italiana condotta dall’Università di Genova in collaborazione con Eurecom ha posto in evidenza la facilità con cui gli hacker si impossessano della password Android. Grazie ad una falla di sicurezza le nostre credenziali possono essere prelevate con estrema facilità. La dimostrazione di laboratorio ha lasciato tutti sconcerti.
Password Android a rischio
I professori Alessio Merlo, Simone Aonzo e Giulio Travella hanno dimostrato la criticità dell’aspetto sicurezza Android, dopo una dimostrazione pratica realizzata in partnership con Yanick Fratantonio di Eurecom. Dalla prova è emersa la nuova documentazione, dalla quale si capisce che nessuno è al sicuro.
Si sono presi in esame due elementi: Password Manager e lnstant Apps. Per quest’ultima funzione si fa riferimento a Google, che l’ha introdotta fin dal 2016 allo scopo di facilitare l’uso di app esterne che non richiedono installazione in locale. Per i Password Manager, invece, ci si affida a servizi di terze parti il cui scopo è quello di conservare le password per gli account personali ed i servizi online.
Esempi famosi di detti sistemi sono OnePassword e LastPass, ma ne esistono un’infinità. Usati su una piattaforma Desktop i PM associano direttamente le credenziali ad un sito web, senza richiedere continuamente gli estremi di riconoscimento. Funzionano bene e sono decisamente comodi. Lo stesso non si può dire per Android.
I Password Manager Android svolgono un compito pericoloso
Su piattaforma mobile non sempre le cose vanno per il verso giusto. Piuttosto che legarsi all’app, i Password Manager interrogano il server web e spesso non riescono ad associare correttamente i dati per tutte le app installate.
In questi casi basta una semplice app contraffatta che rimandi ad un sito web a cui si è già ottenuto accesso per perdere il controllo delle credenziali. I dati di login per username e password vengono copiati ed incollati all’interno dell’app fasulla ed a quel punto i nostri dati sono alla mercé dell’hacker sviluppatore.
“Il punto qui non è ingannare la persona, ma appunto ingannare anche uno strumento (il Password Manager) che in teoria dovrebbe fornire un livello di sicurezza aggiuntiva, proprio per proteggere meglio chi non è bravo a farlo da solo”
Fratantonio spiega che per riconoscere un’app i sistemi di compilazione automatica devono usare un dato chiamato “package name“ che instauri un collegamento tra app e servizio online. Si tratta di un’informazione facile da contraffare perché:
“devono mappare “package name” a “web domain names”. Senza alternative migliori, usano metodi euristici che possono ingannare le Instant Apps di Android usandole per avviare questo tipo di attacco. I PM non controllano se un’app è del tutto installata oppure no”
Esistono soluzioni per evitare che le Instant App concedano le password agli hacker?
Le soluzioni esistono e potrebbero rendersi efficaci fin da subito. Secondo Fratantonio basterebbe utilizzare la mappatura dei pacchetti DAL (Digital Asset Links) per associare i servizi solo dopo un’autenticazione tra app e web service. Il fatto è che DLA è poco usato e per questo anche i PM più famosi non lo usano (secondo i dati sono attivi solo nel 2% dei siti).
A questo punto la questione si rimette nelle mani degli sviluppatori delle app, che devono darsi una mossa per adeguarsi a questo nuovo sistema di sicurezza. I ricercatori, inoltre, hanno sviluppato una nuova API (getVerifiedDomainNames) che potrebbe obbligare gli sviluppatori a fare la scelta più sicura. Google deve decidere in fretta, prevedendone una sua integrazione ufficiale nelle prossime versioni Android Fratantonio conclude dicendo che:
“Crediamo che gli sviluppatori di Password Manager non possano risolvere questo problema da soli su scala globale. Speriamo che Google decida di pubblicare la mappatura”
Con Android P la società di Mountain View ha rivisitato il concept sicurezza ma occorre un ulteriore sforzo a salvaguardia della riservatezza sui nostri dati personali.