image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale) TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è...
Immagine di Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci Non solo polvere: questo aspirapolvere rimuove anche i liqui...

Come rubare le password da Android, una ricerca italiana

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Pubblicato il 26/09/2018 alle 14:45

I ricercatori dell'Università di Genova e di Eurecom hanno scoperto un problema di sicurezza in Android che potenzialmente permette a un malintenzionato di sottrarre le password agli utenti. Un attacco che può sfruttare separatamente due elementi: i Password Manager e le Instant Apps. Lo hanno dimostrato in laboratorio il professor Alessio Merlo, Simone Aonzo e Giulio Travella dell'Università di Genova, insieme a Yanick Fratantonio di Eurecom. Quest'ultimo ha anche dato notizia della ricerca e pubblicato la documentazione.

La funzione Instant Apps è stata introdotta da Google nel 2016 e permette di provare un'applicazione senza scaricarla, usandola via Web. I password manager (PM), sono invece servizi ormai molto diffusi che conservano le password per noi e le inseriscono quando è necessario.  Esempi famosi sono OnePassword o LastPass, ma ormai ce ne sono molti in circolazione - molti produttori di antivirus ne propongono uno (è anche un buon sistema per tenersi i clienti a lungo termine).

Usati su un desktop, i PM associano utente e password a un certo sito web. Su Android però l'associazione è con un'app installata (o no, come vedremo). L'app però non è riconoscibile di per sé stessa, ma rimanda al web per permettere alla password manager di capire cosa fare - ed è per questo che con alcune applicazioni i PM non funzionano o funzionano male.

Ebbene, è relativamente facile confezionare un'applicazione fasulla e far credere al PM che sia quella legittima. Se si prosegue con il login e si incollano le credenziali, ecco che la utente e password sono finiti nelle mani sbagliate. È necessaria un'azione dell'utente, che chieda cioè esplicitamente al Password Manager di completare le caselle con i dati in questione. Ma se l'aspetto dell'app web è credibile chiunque potrebbe cascarci.

Il punto qui non è ingannare la persona, ma appunto ingannare anche uno strumento (il Password Manager) che in teoria dovrebbe fornire un livello di sicurezza aggiuntiva, proprio per proteggere meglio chi non è bravo a farlo da solo.  

Per riconoscere un'app i PM usano un dato chiamato "package name" per individuare un'app, ma è un'informazione facile da contraffare. "I PM hanno davanti un lavoro duro", spiega Fratantonio, "perché devono mappare "package names" a "web domain names". Senza alternative migliori, usano metodi euristici che si possono ingannare. [...] Le Instant Apps di Android", continua il ricercatore, "si possono usare per avviare questo tipo di attacco. I PM non controllano se un'app è del tutto installata oppure no".

La funzione Instant Apps, disponibile da Android 8 in poi, rende tutto un po' più pericoloso. Perché per scaricare un'app pericolosa bisogna in un certo senso andarsela a cercare, e se si resta all'interno del "recinto" rappresentato da Google Play i rischi sono relativamente contenuti (ma comunque maggiori di zero).

Con le Instant Apps invece basta un link che rimandi a una fantomatica versione di prova di una certa applicazione. A quel punto si può ingannare il password manager con il metodo descritto sopra, ma senza la seccatura di creare e far installare un'app confezionata ad hoc. E in particolare su questo appunto che si manifesta il rischio di phising: basta un annuncio "prova gratis questa fantastica app!" a creare il pericolo.

ia 1
ia 2
ia 3
ia 4

Fortunatamente esistono soluzioni che si potrebbero mettere in pratica anche da subito. Sempre Fratantonio nota che la mappatura dei pacchetti verso i domini web è possibile tramite Digital Asset Links (DAL), una funzione che permette a un sito di mandare un messaggio digitale che suona più o meno come "ok, puoi associare questo dominio alla tale app su Android in piena sicurezza, come dimostra questo certificato".

DAL però è utilizzata pochissimo e per questo i PM non la usano. Secondo i dati citati dai ricercatori solo il 2% circa dei siti. Se però gli sviluppatori di app cominciassero a usarla diffusamente, allora i password manager potrebbero sfruttare Digital Asset Link per assicurarsi che un'app o una versione Web sia esattamente ciò che dice di essere.

I ricercatori hanno poi sviluppato una nuova API (getVerifiedDomainNames) che potrebbe obbligare gli sviluppatori a fare la scelta più sicura. Sta ora a Google la decisione di aggiungerla ufficialmente ad Android oppure no.

"Crediamo che gli sviluppatori di Password Manager da soli non possano risolvere questo problema su scala globale", continua Fratantonio. "Speriamo che questo lavoro ispirerà la community a spingere l'adozione di DAL. Per il momento, speriamo anche Google pubblicherà la mappatura che hanno raccolto a mano".

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    Questo nuovo materiale "vive" e ricostruisce gli edifici
  • #2
    Uso della VRAM ridotto all'osso con la nuova versione del DLSS
  • #3
    Anche Amazon nella rete del “NO IVA”: ecco gli affari nascosti
  • #4
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #5
    Milioni di stampanti in tutto il mondo a rischio sicurezza
  • #6
    Questa è la tech che salverà le schede video da 8GB
Articolo 1 di 5
Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci
Proscenic F20A è un aspirapolvere senza fili 3 in 1 con coupon da 50€ di sconto da selezionare su Amazon, che lo porta a soli 219€.
Immagine di Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci
Leggi questo articolo
Articolo 2 di 5
TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale)
Offerta imperdibile per la smart TV Hisense 55A8DN OLED 4K 55 pollici con tecnologia Dolby Vision IQ e 120Hz. Su Amazon sotto gli 800€!
Immagine di TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale)
Leggi questo articolo
Articolo 3 di 5
Il colore conta: lo smart speaker Sonos bianco ha oltre 40€ di sconto
A volte il colore fa la differenza: questo smart speaker Sonos bianco è scontato di oltre 40€ al momento del pagamento, permettendovi di prenderlo a 187€.
Immagine di Il colore conta: lo smart speaker Sonos bianco ha oltre 40€ di sconto
Leggi questo articolo
Articolo 4 di 5
Passerai l’estate a giocare? Fallo con le cuffie HyperX, oggi in offerta
Buona offerta da Amazon sulle HyperX Cloud III Wireless, in sconto da 179,99€ a 119,99€, cuffie gaming con 120 ore di autonomia e audio DTS Spatial.
Immagine di Passerai l’estate a giocare? Fallo con le cuffie HyperX, oggi in offerta
Leggi questo articolo
Articolo 5 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.