Problemi di sicurezza per i dispositivi Android. Questa volta si parla di Phishing e la notizia arriva direttamente dall’università di Genova.
A quanto pare una vulnerabilità legata alla tecnologia Instant Apps e ai password manager dello store potrebbe creare una falla capace di aprire le porte al phishing, pericolo soprattutto per gli utenti inesperti, e non solo.
Questa combinazione di elementi permette di rubare password importanti, legate magari al delicatissimo homebanking e ad altre credenziali sensibili.
Sulle pagine del Corriere della Sera i ricercatori spiegano: “l’attacco permette di ingannare l’utente e forzare i password manager ad inviare le credenziali ad un’applicazione malevola, senza la necessità di installare la stessa sullo smartphone. Tale attacco rende attualmente inaffidabile l’utilizzo dei password manager su Android, usati da decine di milioni di utenti nel mondo, ed il cui utilizzo è in continua crescita“.
Google si è già attivato dopo la segnalazione della vulnerabilità. Il problema non è infatti legato ad Android stesso, ma come spesso accade alle app dello store, purtroppo non abbastanza sicure e filtrate dal colosso del web.
“Attualmente esiste una soluzione tecnica al problema che permetterebbe di rendere sicure le associazioni alla base dei password manager su Android. Tale tecnologia, che prende il nome di App Link Verification, permette agli sviluppatori di associare il nome della loro applicazione al corrispondente dominio web in modo sicuro e verificabile. Tuttavia, la nostra ricerca ha evidenziato che attualmente questa tecnologia è adottata da appena il 2% delle applicazioni Android che vengono auto-completate dagli attuali password manager, rendendo quindi gli autocompletamenti delle restanti applicazioni passibili dell’attacco di phishing descritto in precedenza“, spiegano ancora i ricercatori informatici.
“Dal momento che l’unica soluzione definitiva al problema è quella di forzare gli sviluppatori di applicazioni Android ad usare l’App Link Verification, la messa in sicurezza delle associazioni alla base dei password manager richiederà tempo ed uno sforzo collaborativo comune tra le comunità Web e Android“.
Google sta quindi lavorando alla soluzione ma il percicolo è ancora operativo.
Fondamentale per proteggersi è non installare mai e per nessun motivo applicazioni che si muovono tramite link. Meglio ancora sarebbe evitare i password manager, app che memorizzano le nostre credenziali per rendere più immediata la navigazione. Nel momento che scarichiamo una di queste applicazioni, bisogna tener conto che non sappiamo ci la gestisca e ancora, anche in buona fede, se questa app sia sicura e non piena di vulnerabilità magari giò note agli hacker.
Meglio sfruttare solo gli elementi base forniti da Google, che ancora una volta si rivela una delle poche fonti sicure quando si tratta di password e protezione dei nostri dati.