Un gruppo di ricercatori dell’Università di Genova: il prof. Alessio Merlo, il dottorando Simone Aonzo e lo studente Giulio Tavella, in collaborazione con Yanick Fratantonio di Eurecom, ha individuato un furtivo e pericoloso attacco di phishing su Android che permette di poter rubare le credenziali dell’utente per l’accesso a servizi critici (home banking, trading, pagamento elettronico, social network, servizi istituzionali, etc…) salvate sui gestori di password (password manager).
L’attacco permette di ingannare l’utente e forzare i password manager ad inviare le credenziali ad un’applicazione malevola, senza la necessità di installare la stessa sullo smartphone. Tale attacco rende attualmente inaffidabile l’utilizzo dei password manager su Android, usati attualmente da decine di milioni di utenti nel mondo, ed il cui utilizzo è in continua crescita.
Il team di ricercatori ha inoltre evidenziato che, seppur esista una soluzione tecnica, la risoluzione del problema non può essere immediata e non dipende esclusivamente dagli sviluppatori di password manager o del sistema operativo Android, ma richiede uno sforzo globale da parte delle comunità Web e Android.
L’importante risultato è il frutto di una collaborazione tra il DIBRIS (Università degli studi di Genova) ed il Software and System Security Group (Eurecom, Francia). Il team di ricercatori ha prontamente segnalato il problema sia ai principali sviluppatori di password manager mondiali che al Security Team di Android, e negli scorsi mesi ha attivamente collaborato con tali stakeholder per mitigare il problema.
Il risultato della ricerca verrà presentato il 18 ottobre 2018 ad una delle più importanti conferenze internazionali di sicurezza informatica, la 25th ACM Conference on Computer and Communications Security (ACM CCS 2018).
La scoperta dell’attacco è il risultato della ricerca svolta nel Laboratorio di Computer Security del DIBRIS dell’Università di Genova, nell’ambito del quale il professor Merlo dirige l’attività di ricerca in Mobile security assieme a due dottorandi e a due post-doc. Il Laboratorio di Computer Security, diretto dal professor Alessandro Armando, vanta una forte collaborazione con il Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’informatica), e organizzazioni nazionali ed internazionali, quali Poste Italiane e la NATO. Con il colosso del settore aerospaziale Boeing, i ricercatori di Genova investono nella formazione e nella crescita di giovani esperti di Cybersecurity attraverso corsi di hacking e sfide in stile «Capture the Flag». I ricercatori collaborano inoltre allo sviluppo di un Poligono Virtuale (Cyber Range) che verrà utilizzato per la formazione e l’addestramento del personale militare presso la Scuola delle Telecomunicazioni di Chiavari.
