Un team di ricercatori ha identificato una debolezza nei sistemi operativi mobili Android, Windows e iOS che potrebbe essere utilizzata per ottenere informazioni personali dagli utenti.
Un team di ricercatori, tra cui un assistente professore presso la University of California, ha identificato una debolezza che si ritiene esistere nei sistemi operativi mobili Android, Windows e iOS che potrebbe essere utilizzata per ottenere informazioni personali dagli utenti ignari. Nel corso dell’Usenix Symposium di San Diego, i ricercatori hanno dimostrato come è possibile raggirare la sicurezza in un telefono Android.
I ricercatori hanno testato il metodo su diverse applicazioni per Android e hanno avuto successo (quindi sono riusciti a violare le protezioni) tra il 82 per cento e il 92 per cento delle volte su sei delle sette applicazioni testate, tra le più popolari. Tra le applicazioni che sono state facilmente 'hackerate' ci sono state Gmail (92% dei casi), Hotels.com (83%), Chase Bank (83%). Amazon, con un tasso di successo del 48 per cento, è stata l'unica app provata che era difficile da violare.
I ricercatori ritengono che il loro metodo funziona su altri sistemi operativi perché essi condividono una caratteristica sfruttata nel sistema Android. Tuttavia, i ricercatori non hanno testato il programma con gli altri sistemi, solo con Android.
Nessun allarmismo: i ricercatori hanno iniziato a lavorare sul metodo di hacking perché credevano che ci fosse un rischio per la sicurezza, ma si tratta di un tipo di attacco piuttosto complesso da attuare e che presuppone che l’utente installi manualmente un’app poco sicura, contenente un codice malevolo, che funga da trojan per infettare il sistema. Tale 'cavallo di Troia' servirebbe quindi per monitorare la memoria condivisa del dispositivo, ossia l’area del sistema operativo dove le applicazioni dialogano fra esse.
"Il presupposto è sempre stato che le applicazioni non possono interferire con le altre facilmente", ha detto uno dei ricercatori. "Abbiamo dimostrato che l'ipotesi non è corretta e una applicazione può infatti avere un impatto significativo su un'altra e portare a conseguenze dannose per l'utente."
Per l'utente i problemi potrebbero verificarsi qualora l'app malevola installata venga sfruttata dall'attaccante per 'spiare' le altre applicazioni, potendo anche accedere ad informazioni come le credenziali di accesso a Gmail o ad altri servizi, tutto all'insaputa dell’utente.
L'attaccante sarebbe dunque in grado di monitorare i cambiamenti nella memoria condivisa e di correlare i cambiamenti a quello che i ricercatori chiamano un "evento di transizione di attività", che comprende l'intercettazione di azioni dell'utente come l'inserimento delle credenziali di accesso ad un servizio o lo scatto di una foto da poi salvare in-the-cloud. Gli autori della scoperta hanno dimostrato, inoltre, che è possibile tenere traccia dell'attività dell'utente in modo abbastanza preciso anche in tempo reale.
Servono due cose perchè l'attacco vada a buon fine. La prima, l'attacco deve avere luogo nel momento esatto in cui l'utente accede ad un'app o scatta una foto. La seconda, l'attacco deve essere fatto in modo poco 'appariscente' e calcolando attentamente i tempi. "In base alla progettazione, Android consente alle applicazioni di essere prevaricate o dirottate", ha detto un ricercatore. "Ma la cosa importante è fare l'attacco al momento giusto in modo che l'utente non se ne accorga.".
Cosa possono fare gli utenti per difendersi da questo tipo di minacce? Il ricercatore Zhiyun Qian del Dipartimento di Scienza dei Computer di Riverside consiglia agli utenti di non installare applicazioni non affidabili.