Un gruppo di ricercatori dell’Università di Genova, insieme alla francese Eurecom, ha scoperto nuove vulnerabilità in Android, il più diffuso sistema operativo per dispositivi mobili. Le vulnerabilità individuate aprirebbero le porte ad attacchi di phishing per rubare le credenziali degli utenti da ogni app installata e su qualsiasi versione del sistema operativo sviluppata finora.
Attraverso il phishing si ingannano gli utenti portandoli a consegnare le proprie credenziali ad un’app malevola che ricalca l’originale, di cui l’utente si fida. Perché un attacco di phishing vada a buon fine l’applicazione malevola deve essere identica a quella originale e mostrarsi all’utente nell’esatto momento in cui si aspetta di interagire con l’originale. Sebbene i sistemi di sicurezza sviluppati nel tempo da Android abbiamo reso difficili le condizioni, i ricercatori dell’Università di Genova e di Eurecom hanno scoperto una serie di vulnerabilità collegate ad una funzionalità del sistema operativo – inotify – attraverso le quali aggirare le protezioni.
Inotify permette ad una applicazione di ricevere una notifica qualora un’altra app venga avviata e Android consente alle applicazioni di usarlo solo sotto stringenti condizioni. Nonostante ciò, i ricercatori hanno scoperto una serie di vulnerabilità, causate da errate configurazioni, che consentono di trarre vantaggio dalle funzionalità di inotify, consentendo di fatto ad un’app malevola di avviarsi concorrentemente con l’originale per eseguire l’attacco. Tutte le applicazioni e le versioni del sistema operativo Android sviluppate finora sono potenzialmente vulnerabili.
Il gruppo di ricerca – composto da Antonio Ruggia e Alessio Merlo dell’Università di Genova, Simone Aonzo, Dario Nisi e Andrea Possemato di Eurecom – ha già sottoposto al team sicurezza di Android delle possibili soluzioni per sanare le vulnerabilità scoperte, che verranno probabilmente rilasciate già nei prossimi aggiornamenti del sistema operativo.
La collaborazione tra Università di Genova ed Eurecom aveva già portato risultati significativi. Nel 2018 lo stesso gruppo di ricerca era riuscito ad ingannare i più noti password manager forzandoli a consegnare le credenziali salvate ad app malevole, anche in questo caso tramite un attacco di phishing. Mentre allora l’attacco abusava di alcune nuove funzionalità introdotte in Android 8, la scoperta attuale si basa su una funzionalità disponibile sin dalla prima versione del sistema operativo, e perciò un eventuale attacco di phishing potrebbe avere, in questo caso, un impatto molto più vasto.
