Come ha reso noto la rivista Unige.life, un gruppo di ricerca condotto dall’Università di Genova, il Dipartimento di informatica, bioingegneria, robotica e ingegneria dei sistemi – DIBRIS, e di EURECOM Graduate School and Research Center in Digital Science (Biot Sophia Antipolis, Francia) ha trovato nuovi elementi di vulnerabilità nel sistema operativo Android.
Da queste falle di sicurezza sarebbe così possibile realizzare un attacco di phishing, semplice ed efficace, consentendo agli hacker di rubare le credenziali dell’utente (login e password) da ogni applicazione installata e su qualsiasi versione del sistema operativo finora sviluppata. Ma cosa è il phishing? Si tratta di una particolare tipologia di truffa realizzata sulla rete Internet che si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli.
Il phishing nel sistema Android
L’utente riceve un’email, solo apparentemente proveniente da istituti finanziario da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio riferisce problemi di registrazione o di altra natura, ed invita a fornire i propri dati riservati per accedere al servizio.
Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un link che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artificiosamente allestito in modo visivamente identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
La ricerca
I ricercatori di questo studio hanno dato al team sicurezza di Android alcuni consigli tecnici per risolvere questi elementi vulnerabili, che verranno integrate possibilmente nei prossimi aggiornamenti del sistema operativo. Non è la prima volta che la collaborazione tra UniGe ed EURECOM ottiene notevoli risultati nell’ambito della sicurezza informatica.
Nel 2018, lo stesso gruppo di ricerca è riuscito a ingannare i più famosi password manager facendosi consegnare le credenziali salvate ad app malevole, attraverso un attacco phishing. Questa nuova scoperta si basa su una funzionalità presente addirittura nella prima versione di Android. Da ciò deriva il fatto che un attacco simile possa essere perpetuato a prescindere dal tipo di dispositivo o dalla versione del sistema, con un considerevole aumento dei rischi per il consumatore.
Le vulnerabilità di Android
Per risultare efficace, un attacco di phishing richiede che l’applicazione malevola: sia identica a quella originale, venga eseguita al posto dell’originale, si mostri all’utente nell’istante in cui lo stesso si aspetta di interagire con il sito originale.
I sistemi Android realizzati fino ad oggi hanno complicato la vita ai criminali del web soprattutto per i punti 2 e 3. Ma i ricercatori Antonio Ruggia e Alessio Merlo dell’Università di Genova, Simone Aonzo, Dario Nisi e Andrea Possemato di EURECOM, hanno scoperto una serie di punti vulnerabili collegate a una funzionalità del sistema operativo – inotify – che consentono di aggirare facilmente tali protezioni.
La funzionalità inotify
In breve, inotify consente di ricevere una notifica qualora un’altra applicazione venga avviata. Data la potenziale pericolosità di un servizio di questo tipo, il sistema operativo Android permette alle applicazioni di usarlo solo sotto determinate condizioni. Purtroppo gli studiosi del team di ricerca hanno individuato delle falle di sicurezza, causate da sbagliate configurazioni, che permettono di trarre vantaggio dalle funzionalità di inotify.
Questi errori di sistema permettono a un’applicazione malevola di essere notificata nel momento in cui una qualsiasi applicazione bersaglio venga avviata o, più in generale, nei cosiddetti “cambi di stato”. In questo modo, l’applicazione malevola può avviarsi al posto dell’originale per eseguire l’attacco (ad esempio sostituendosi alla stessa), realizzando facilmente i punti 2 e 3 dell’attacco di phishing.
