Il processo di autenticazione a due fattori, meglio conosciuto come sistema 2FA, consente di verificare l’attendibilità dell’utente Android attraverso il circuito degli SMS. Ultimamente è saltato all’occhio un serio problema di sicurezza che ha esposto in chiaro milioni di codici di sicurezza.
Sicurezza Android: sistema 2FA in mano agli hacker
Qualcosa come 26 milioni di codici sono stati trafugati dagli hacker. Il database è finito in mani sbagliate per opera dell’azienda di comunicazione Voxox che per il solo 2017 ha concesso 26 milioni di codici di accesso per piattaforme di fama internazionale come Amazon e Google.
Il fatto che il sistema di sicurezza tramite SMS Android non fosse sicuro era risaputo. Manca di un’impronta di cifratura che consente di lasciare una porta aperta alle intrusioni. Chiunque, munito di conoscenze e brutte intenzioni, può intercettare e leggere il contenuto dei messaggi. Il server che ha ospitato il database di codici è andato ben oltre.
Il ricercatore di sicurezza berlinese, Sébastien Kaul, è riuscito a trovarlo semplicemente lanciando una ricerca online con motore di ricerca chiamato Shodan usato per dispositivi come webcam, router e server connessi al network. Si introduce un pericoloso problema di sicurezza. Tutti i dati sono visibili in chiaro, con tanto di sistema di ricerca per marca, modello e numero di cellulare verso cui sono stati inviati i codici.
I codici di autenticazione hanno un tempo di vita piuttosto breve, ma il fatto di poter accedere alla lista quasi in tempo reale la dice lunga sulla facilità con cui è possibile accedere ai dati.
Dopo la segnalazione, Voxox ha dismesso il database chiudendo il server. Quanto accaduto, ad ogni modo, offre un prospetto sulle leggerezze dei sistemi basati su autenticazione SMS. Tanto è vero che aziende come Facebook, Twitter e Instagram, usano sistemi basati esclusivamente sulle applicazioni.
Nel frattempo si segnala la ricerca e la sperimentazione sulla ricostruzione artificiale delle impronte digitali, usate per accedere ai dispositivi senza il consenso dell’utente. Un altro problema di sicurezza che deve essere colmato al più presto.
