man in the middle

185 milioni di utenti Android vulnerabili ad attacchi di tipo “man in the middle”

Nicola Ligas

Abbiamo catturato la vostra attenzione con un allarmistico titolo? Bene, allora vediamo questa volta cosa c’è di vero e cosa di esagerato nell’ennesimo allarme sicurezza per Android, che questa volta riguarda il proverbiale “uomo nel mezzo“, che non si riferisce ad un fortunato latin lover, ma ad un attaccante che si frappone tra noi e l’entità con la quale vogliamo comunicare, carpendo così i nostri dati.

Studiosi delle università di Leibniz ad Hannover, in Germania, e della Philpps University di Marburg, hanno portato a termine degli esperimenti nei quali affermano di essere riusciti a carpire dati sensibili:

Abbiamo raccolto dati sui conti correnti, credenziali di pagamento per PayPal, American Express e altri. Inoltre, sono trapelate anche credenziali e messaggi di Facebook, email e dati nel cloud storage, è stato ottenuto accesso alle  webcam, ed i canali di controllo per applicazioni e server remoti possono essere cambiati.

Tra i dettagli quantomeno curiosi, lo studio includeva l’uso di un’app anti-virus (Zoner AntiVirus Free), che ha accettato certificati SSL non validi durante l’aggiornamento del proprio database di malware, rendendosi così esposta al rischio di vedere inseriti tra i certificati attendibili quelli di un ipotetico malintenzionato.

Tra le altre app trovate “colpevoli” vengono segnalate un generica “online banking application“, un popolare e cross-platform servizio di instant messaging, un servizio di cloud storage compreso entro i 5 milioni di utenti, e l’app per accedere ad un popolare sito con oltre 1 milione di utenti (non siamo noi!); tutte ovviamente e rigorosamente applicazioni anonime.

Ma qual è il senso di questo studio? Metterci a parte dell’esistenza di questo tipo di attacchi? Il “man in the middle” non è certo un’invenzione del 2012 ed è chiaro che, come spesso accade in questi casi, è la disattenzione dell’utente che può fare la differenza. È però importante sottolineare che non si tratta di vulnerabilità dell’OS quanto piuttosto di un singolo applicativo (magari realizzato da terze parti) e/o di chi eroga un determinato servizio. Non carpiranno insomma la password del vostro account Gmail se userete la relativa app per Android: quella sì che potrebbe essere una vulnerabilità della quale preoccuparsi!

Gli stessi ricercatori propongono infatti come “soluzione” quella di utilizzare solo certificati verificati e raccomandano a Google di visualizzare degli avvertimenti qualora la connessione non sia sicura, ovvero la normale pratica quotidiana quando vogliamo scambiare dati sensibili in tutta sicurezza, indipendentemente dal fatto che stiamo usando Android piuttosto che un PC o un mai troppo vetusto piccione viaggiatore.

Via: ViaFonte: Fonte