AGI - Un nuovo metodo propone di contrastare gli attacchi di account takeover, ovvero i furti d’identità online in cui una terza parte accede in modo illegittimo all’account online di una vittima per ottenere un profitto, modificando i dettagli dell’account, effettuando acquisti e sfruttando le informazioni rubate per accedere ad altri account.
La nuova strategia, che identifica i gap nella sicurezza che rendono le persone vulnerabili agli attacchi di account takeover è stata sviluppata da un gruppo internazionale di ricercatori informatici e descritta nei Proceedings of the 28th European Symposium on Research in Computer Security. La maggior parte dei cellulari ospita oggi un complesso ecosistema di software operativi e applicazioni interconnessi e, con l’aumento delle connessioni tra i servizi online, sono aumentate anche le possibilità per gli hacker di sfruttare le debolezze della sicurezza, spesso con conseguenze disastrose per il proprietario.
“L’espediente di guardare alle spalle di qualcuno per scoprire il suo PIN è ben noto; tuttavia, il fine ultimo per colui che effettua l’attacco è quello di ottenere l’accesso alle App, che memorizzano una grande quantità di informazioni personali e possono fornire l’accesso a conti come Amazon, Google, X, Apple Pay e persino conti bancari”, ha detto Luca Arnaboldi, della School of Computer Science dell’Università di Birmingham. Per comprendere e prevenire questi attacchi, i ricercatori si sono immedesimati con l’hacker, che può costruire un attacco complesso combinando piccoli passi tattici. Arnaboldi ha collaborato con il David Aspinall, dell’Università di Edimburgo, Christina Kolb, dell’Università di Twente e Sasa Radomirovic, dell’Università del Surrey per definire un modo per catalogare le vulnerabilità di sicurezza e modellare gli attacchi di account takeover, riducendoli ai loro elementi costitutivi.
Finora, le vulnerabilità della sicurezza sono state studiate utilizzando i grafici di accesso agli account, che mostrano il telefono, la carta SIM, le applicazioni e le caratteristiche di sicurezza che limitano ogni fase di accesso. Tuttavia, i grafici di accesso all’account non prendono in considerazione l’acquisizione dell’account, in cui un aggressore scollega un dispositivo o un’App dall’ecosistema dell’account, ad esempio estraendo la scheda SIM e inserendola in un secondo telefono. Poiché i messaggi SMS saranno visibili sul secondo telefono, l’aggressore potrà utilizzare metodi di recupero della password basati sugli SMS.
I ricercatori hanno superato questo ostacolo sviluppando un nuovo metodo per modellare il modo in cui l’accesso all’account cambia quando i dispositivi, le schede SIM o le app vengono scollegate dall’ecosistema dell’account. La loro tecnica, che si basa sulla logica formale utilizzata da matematici e filosofi, cattura le scelte affrontate da un hacker che ha accesso al telefono cellulare e al PIN. Gli scienziati si aspettano che questo approccio venga adottato dai produttori di dispositivi e dagli sviluppatori di App che desiderano catalogare le vulnerabilità e approfondire la comprensione dei complessi attacchi di hacking.
Lo studio illustra anche come i ricercatori abbiano testato il loro approccio rispetto alle affermazioni contenute in un articolo del Wall Street Journal, che ipotizzava che una strategia di attacco utilizzata per accedere a dati e conti bancari su iPhone potesse essere replicata su Android, anche se non erano stati segnalati attacchi di questo tipo. Le applicazioni per Android vengono installate dal Play Store e l’installazione richiede un account Google; i ricercatori hanno scoperto che questa connessione fornisce una certa protezione contro gli attacchi informatici. Il loro lavoro ha, inoltre, suggerito una correzione di sicurezza per l’iPhone.
“I risultati delle nostre simulazioni hanno dimostrato che le strategie di attacco utilizzate dagli hacker dell’iPhone per accedere ad Apple Pay non potevano essere utilizzate per accedere ad Android Pay su Android, a causa delle caratteristiche di sicurezza dell’account Google”, ha dichiarato Arnaboldi. “Le simulazioni hanno anche suggerito una soluzione di sicurezza per l’iPhone, che richiede l’uso di una password precedente oltre che di un pin, una scelta semplice che la maggior parte degli utenti apprezzerebbe”, ha aggiunto Arnaboldi.
Apple ha ora implementato una correzione per questo problema, fornendo un nuovo livello di protezione agli utenti di iPhone. Gli scienziati hanno ripetuto questo esercizio su altri dispositivi, quali Motorola G10, Android 11, Lenovo YT-X705F, Android 10, Xiaomi, Redmi Note Pro 10, Android 11 e Samsung Galaxy Tab S6 Lite Android. In questo caso hanno scoperto che i dispositivi con account del produttore, Samsung e Xiaomi, presentavano la stessa vulnerabilità di Apple: anche se l’account Google rimaneva sicuro, gli account personalizzati venivano compromessi.
Gli informatici hanno anche utilizzato il loro metodo per testare la sicurezza sui propri dispositivi mobili, con un risultato inaspettato: uno di loro ha scoperto che l’accesso della moglie a un account iCloud condiviso aveva compromesso la sua sicurezza, mentre le sue misure di sicurezza erano al massimo, la sua catena di connessioni non era sicura. Arnaboldi è attualmente impegnato in un’attività di consulenza accademica, dove collabora con le principali aziende e società del settore Internet per migliorare le loro difese contro l’hacking.