Un gruppo di ricercatori dell’Università di Genova: il professor Alessio Merlo, il dottorando Simone Aonzo e lo studente Giulio Tavella, in collaborazione con Yanick Fratantonio di Eurecom, ha individuato un furtivo e pericoloso attacco di phishing su Android che permette di poter rubare le credenziali dell’utente per l’accesso a servizi critici (home banking, trading, pagamento elettronico, social network, servizi istituzionali, etc...) salvate sui gestori di password (password manager). L’attacco permette di ingannare l’utente e forzare i password manager ad inviare le credenziali ad un'applicazione malevola, senza la necessità di installare la stessa sullo smartphone. Tale attacco rende attualmente inaffidabile l’utilizzo dei password manager su Android, usati attualmente da decine di milioni di utenti nel mondo, ed il cui utilizzo è in continua crescita.
Il team di ricercatori ha inoltre evidenziato che, seppur esista una soluzione tecnica, la risoluzione del problema non può essere immediata e non dipende esclusivamente dagli sviluppatori di password manager o del sistema operativo Android, ma richiede uno sforzo globale da parte delle comunità Web e Android.
L’importante risultato è il frutto di una collaborazione tra il DIBRIS (Università degli studi di Genova) ed il Software and System Security Group (Eurecom, Francia). Il team di ricercatori ha prontamente segnalato il problema sia ai principali sviluppatori di password manager mondiali che al Security Team di Android, e negli scorsi mesi ha attivamente collaborato con tali stakeholder per mitigare il problema.
Il risultato della ricerca verrà presentato il 18 ottobre 2018 ad una delle più importanti conferenze internazionali di sicurezza informatica, la 25th ACM Conference on Computer and Communications Security (ACM CCS 2018). La scoperta dell’attacco è il risultato della ricerca svolta nel Laboratorio di Computer Security del DIBRIS dell’Università di Genova, nell’ambito del quale il professor Merlo dirige l’attività di ricerca in Mobile security assieme a due dottorandi e a due post-doc. Il Laboratorio di Computer Security, diretto dal professor Alessandro Armando, vanta una forte collaborazione con il Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’informatica), e organizzazioni nazionali ed internazionali, quali Poste Italiane e la NATO. Con il colosso del settore aerospaziale Boeing, i ricercatori di Genova investono nella formazione e nella crescita di giovani esperti di Cybersecurity attraverso corsi di hacking e sfide in stile «Capture the Flag». I ricercatori collaborano inoltre allo sviluppo di un Poligono Virtuale (Cyber Range) che verrà utilizzato per la formazione e l’addestramento del personale militare presso la Scuola delle Telecomunicazioni di Chiavari.
Informazioni tecniche
I password manager, originariamente concepiti per il web, permettono ad un utente di salvare le proprie credenziali di accesso ai siti internet (e.g., nome utente, password, …), e forniscono un servizio di autocompletamento, ovvero, inseriscono automaticamente le credenziali ogniqualvolta un utente navighi su un sito per il quale le stesse siano state salvate in precedenza, liberando l’utente dal peso di dover ricordare un numero elevato di credenziali.
L’utilizzo dei password manager su web è sicuro, in quanto il password manager identifica il sito richiedente prima di fornire le credenziali, tramite un sistema di certificati digitali estremamente affidabile. In questo modo non sussiste il rischio che un password manager sia raggirato da siti volutamente ingannevoli che l’utente potrebbe essere spinto a raggiungere tramite le classiche email di phishing.
Poiché la maggior parte dei servizi web (e.g., Facebook, PayPal, Twitter, …) ha sviluppato negli ultimi anni una corrispondente applicazione mobile, recentemente gli stessi password manager sono stati implementati anche su dispositivi mobili, sotto forma di applicazioni in grado di identificare la richiesta di credenziali da parte di altre applicazioni e di fornire automaticamente le credenziali salvate in precedenza per il corrispondente dominio web.
Per garantire questa funzionalità, i password manager su mobile devono associare in modo sicuro il nome dell’applicazione richiedente con il corrispondente dominio web. A tal proposito, l’attività di ricerca ha dimostrato che tali associazioni su Android non sono affidabili e che è possibile ingannare sia l’utente che i password manager tramite un attacco di phishing, in modo che gli stessi password manager inviino le credenziali di un dominio (e.g., www.paypal.com) ad applicazioni malevole diverse dall’applicazione legale (e.g., l’applicazione ufficiale di PayPal).
La ricerca ha inoltre evidenziato come tali applicazioni malevole non debbano neppure essere installate dall’utente sul proprio smartphone per farsi consegnare le credenziali dai password manager. Infatti, una nuova tecnologia (Instant Apps), resa disponibile con l’ultima versione di Android (vers. 8, Oreo) permette agli utenti di eseguire versioni di prova di applicazioni senza installarle. Tali applicazioni sono raggiungibili tramite un URL ed eseguite direttamente sul dispositivo mobile. I ricercatori hanno anche mostrato che tali applicazioni hanno la capacità di controllare completamente l’interfaccia del dispositivo mobile, permettendo alle applicazioni malevole di apparire identiche alle applicazioni legali. Inoltre, gli stessi ricercatori hanno mostrato come dal punto di vista dei password manager le Instant App siano assolutamente equivalenti alle applicazioni installate.
L’inaffidabilità delle associazioni alla base dei password manager su Android e le caratteristiche delle Instant App evidenziate in precedenza permettono di realizzare un inedito e furtivo attacco di phishing su Android: infatti, un attaccante può sviluppare un’applicazione malevola con la stessa interfaccia dell’applicazione legale, renderla disponibile sotto forma di Instant App ed inviarne l’URL all’utente tramite phishing. Se l’utente accede all’URL dal proprio dispositivo mobile, l’applicazione malevola viene caricata ed eseguita. Quindi, il password manager suggerisce le credenziali dell’utente per l’applicazione legale e l’utente deve confermare l’autocompletamento. Tuttavia, dal punto di vista dell’utente la percezione è di autocompletare l’applicazione legale con le proprie credenziali, esattamente come è abituato a fare nelle interazioni quotidiane con il proprio dispositivo mobile. Pertanto, l’utente confermerà l’autocompletamento, senza avere la percezione del furto delle credenziali.
Attualmente esiste una soluzione tecnica al problema che permetterebbe di rendere sicure le associazioni alla base dei password manager su Android. Tale tecnologia, che prende il nome di App Link Verification, permette agli sviluppatori di associare il nome della loro applicazione al corrispondente dominio web in modo sicuro e verificabile.
Tuttavia, la ricerca ha evidenziato che attualmente questa tecnologia è adottata da appena il 2% delle applicazioni Android che vengono auto-completate dagli attuali password manager, rendendo quindi gli autocompletamenti delle restanti applicazioni passibili dell’attacco di phishing descritto in precedenza.
Poiché l’unica soluzione definitiva al problema è quella di forzare gli sviluppatori di applicazioni Android ad usare l’App Link Verification, la messa in sicurezza delle associazioni alla base dei password manager richiederà tempo ed uno sforzo collaborativo comune tra le comunità Web e Android.
SU