I ricercatori hanno scoperto che diversi importanti gestori di password di Android possono essere indotti con l’inganno ad inserire le credenziali di accesso in false app di phishing.
I gestori di password possono essere utilizzati per creare, generare, entrare e per il riempimento automatico di password in app e siti web. Oltre a permettere agli utenti di conservare un alto numero di password efficaci, i password manager possono garantire alcune difese contro il phishing – le loro proprietà di auto-riempimento inseriranno le password su siti a cui sono associate (e alle loro app mobili) ma non su siti falsi.
Una ricerca dell’Università di Genova e di EUROCOM Phishing Attacks on Modern Android esamina la differenza tra l’accesso a un servizio tramite una app su mobile e l’accesso a un sito web tramite browser sul desktop. Con il computer, quando il sito viene visitato per la prima volta, il gestore di password crea un collegamento tra il dominio (verificato dal suo certificato digitale) e le credenziali usate per quello stesso accesso. Tuttavia, quando qualcuno utilizza le credenziali del sito per loggarsi in una app, il processo di verifica è più complesso ma potenzialmente meno sicuro.
La principale modalità in cui i gestori di password distinguono le buone dalle cattive app è associando il dominio del sito per quella app con il nome del pacchetto della app stessa, un ID di metadati verificato con l’uso di associazioni generate in modo statico o euristicamente.
Il risultato è che quel nome del pacchetto può essere camuffato – tutto ciò che gli hacker devono fare è creare una app fake con il nome corretto del pacchetto e il gestore di password si fiderà abbastanza per inserire le credenziali corrette.
I ricercatori hanno scoperto che molti gestori di password noti erano sensibili a questo tipo di vulnerabilità – LastPass, 1Password, Dashlane e Keeper – e che solo Google Smart Lock, che non è di base un gestore di password, era in grado di tutelarsi.
Difficoltà immediate
Anche la recente Instant Apps di Google – che può essere provata senza essere scaricata – può essere violata da un sito di phishing che attiva l’autofill di un gestore di password. Questo è particolarmente pericoloso perché significa che si potrebbe fare un attacco di phishing senza che sia necessario installare una app che raggiri il nome del pacchetto (cosa che Google Play non consente).
I ricercatori scrivono:
Crediamo che questa strategia di attacco abbassi molto il livello, rispetto ai noti attacchi di phishing su web e mobile: per quanto ne sappiamo, questo è il primo attacco che non coinvolge una app malevola già installata sul telefono.
Cosa si può fare?
Il punto è che il modo in cui i gestori di password certificano i domini delle app su Android è dettato da tre standard – Accessibility Service (a11y); Autofill Framework (Oreo 8.0 onwards); oppure OpenYOLO, un progetto a parte tra Google e Dashlane.
Il primo di questi livelli, a11y, è stato progettato per persone con disabilità e viene in realtà usato da app dannose per violare i diritti dell’amministratore, il che ha indotto Google a implementare Autofill Framework e Dashlane per OpenYOLO. Purtroppo tutti e tre gli standard sono sensibili alla manomissione dei nomi del pacchetto, cosa che ci indica che risolvere il problema non sarà semplice.
La soluzione dei ricercatori è una nuova API getVerifiedDomainNames () che dispensa i nomi dei pacchetti solo dopo il controllo di un’associazione hardcoded tra un dominio del sito Web (e sottodomini) e l’app che si connette ad esso.
Lo svantaggio di questo è che i siti web dovrebbero iniziare a pubblicare un file di risorse contenente questi dati, cosa che i ricercatori hanno scoperto in appena il 2% di oltre 8.000 domini controllati.
Per ora, questo è il motivo per cui i gestori di password contano sulle loro difese. LastPass, ad esempio, ha detto a Naked Security che non credono che questa vulnerabilità abbia permesso a qualcuno dei loro clienti di venire compromesso:
La nostra app ora richiede un’approvazione esplicita dei nostri utenti prima di autorizzare qualsiasi app sconosciuta, e abbiamo accresciuto la sicurezza dei database associati alle nostre app per abbassare il rischio che una fake app venga accettata.
Naked Security crede che usare un gestore di password sia ancora uno dei modi più semplici ed efficaci che si possano adottare per la sicurezza del proprio computer, e che l’integrazione con le app renda l’uso del gestore più semplice.
È molto più probabile restare scottati da un riutilizzo delle password rispetto a un attacco di riempimento automatico su un’app falsa. In ogni caso, se si è preoccupati per questo genere di attacchi, o azioni simili che sfruttano le funzionalità di riempimento automatico utilizzando i campi di password nascoste, non abbandonare il gestore delle password, ma disattivare l’autofill.
*Tratto dall’articolo Android password managers vulnerable to phishing apps su Sophos Naked Security.
Lascia un commento