I professori Alessio Merlo, Simone Aonzo e Giulio Travella hanno dimostrato la criticità dell’aspetto sicurezza Android, dopo una dimostrazione pratica realizzata in partnership con Yanick Fratantonio di Eurecom. Dalla prova è emersa la nuova documentazione, dalla quale si capisce che nessuno è al sicuro.
Si sono presi in esame due elementi: Password Manager e lnstant Apps. Per quest’ultima funzione si fa riferimento a Google, che l’ha introdotta fin dal 2016 allo scopo di facilitare l’uso di app esterne che non richiedono installazione in locale. Per i Password Manager, invece, ci si affida a servizi di terze parti il cui scopo è quello di conservare le password per gli account personali ed i servizi online.
Esempi famosi di detti sistemi sono OnePassword e LastPass, ma ne esistono un’infinità. Usati su una piattaforma Desktop i PM associano direttamente le credenziali ad un sito web, senza richiedere continuamente gli estremi di riconoscimento. Funzionano bene e sono decisamente comodi. Lo stesso non si può dire per Android.
Su piattaforma mobile non sempre le cose vanno per il verso giusto. Piuttosto che legarsi all’app, i Password Manager interrogano il server web e spesso non riescono ad associare correttamente i dati per tutte le app installate.
In questi casi basta una semplice app contraffatta che rimandi ad un sito web a cui si è già ottenuto accesso per perdere il controllo delle credenziali. I dati di login per username e password vengono copiati ed incollati all’interno dell’app fasulla ed a quel punto i nostri dati sono alla mercé dell’hacker sviluppatore.
“Il punto qui non è ingannare la persona, ma appunto ingannare anche uno strumento (il Password Manager) che in teoria dovrebbe fornire un livello di sicurezza aggiuntiva, proprio per proteggere meglio chi non è bravo a farlo da solo”
Fratantonio spiega che per riconoscere un’app i sistemi di compilazione automatica devono usare un dato chiamato “package name“ che instauri un collegamento tra app e servizio online. Si tratta di un’informazione facile da contraffare perché:
“devono mappare “package name” a “web domain names”. Senza alternative migliori, usano metodi euristici che possono ingannare le Instant Apps di Android usandole per avviare questo tipo di attacco. I PM non controllano se un’app è del tutto installata oppure no”
Le soluzioni esistono e potrebbero rendersi efficaci fin da subito. Secondo Fratantonio basterebbe utilizzare la mappatura dei pacchetti DAL (Digital Asset Links) per associare i servizi solo dopo un’autenticazione tra app e web service. Il fatto è che DLA è poco usato e per questo anche i PM più famosi non lo usano (secondo i dati sono attivi solo nel 2% dei siti).
A questo punto la questione si rimette nelle mani degli sviluppatori delle app, che devono darsi una mossa per adeguarsi a questo nuovo sistema di sicurezza. I ricercatori, inoltre, hanno sviluppato una nuova API (getVerifiedDomainNames) che potrebbe obbligare gli sviluppatori a fare la scelta più sicura. Google deve decidere in fretta, prevedendone una sua integrazione ufficiale nelle prossime versioni Android Fratantonio conclude dicendo che:
“Crediamo che gli sviluppatori di Password Manager non possano risolvere questo problema da soli su scala globale. Speriamo che Google decida di pubblicare la mappatura”
Con Android P la società di Mountain View ha rivisitato il concept sicurezza ma occorre un ulteriore sforzo a salvaguardia della riservatezza sui nostri dati personali.