È ormai risaputo che username e password non sono sufficienti per accedere in sicurezza ai servizi online, uno studio recente condotto da un team di ricerca informatica della Deakin University composto da Syed Wajid Ali Shah, Jongkil Jay Jeong e Robin Doss, ha evidenziato che oltre l’80% di tutte le violazioni legate all’hacking avviene a causa di credenziali compromesse e deboli, come rappresentato da tre miliardi di combinazioni nome utente/password rubate solo nel 2016. L’implementazione autenticazione a due fattori (2FA) pertanto è diventata una necessità, in generale mira a fornire un ulteriore livello di sicurezza al sistema nome utente/password relativamente vulnerabile.
L’autenticazione a due fattori (2FA) funziona, le cifre suggeriscono che gli utenti che hanno abilitato 2FA hanno bloccato circa il 99,9% degli attacchi automatici, ma come con qualsiasi buona soluzione di sicurezza informatica, gli aggressori possono trovare rapidamente modi per aggirarla: possono bypassare 2FA attraverso i codici monouso inviati come SMS allo smartphone di un utente (in Australia, molti servizi online utilizzano ancora critici codici monouso basati su SMS, tra cui myGov e le 4 grandi banche: ANZ, Commonwealth Bank, NAB e Westpac).
Il problema con gli SMS
I principali fornitori come Microsoft hanno esortato gli utenti a abbandonare le soluzioni 2FA che sfruttano SMS e chiamate vocali, questo perché gli SMS sono rinomati per avere una famigerata scarsa sicurezza, lasciandoli aperti a una serie di differenti attacchi, ad esempio, lo scambio di SIM è stato dimostrato come un modo per aggirare l’autenticazione a due fattori (2FA). Lo scambio di SIM prevede che un utente malintenzionato convinca il provider di servizi mobili della vittima di essere lui stesso la vittima e quindi richiede che il numero di telefono della vittima venga trasferito su un dispositivo di sua scelta.
È stato inoltre dimostrato che i codici monouso basati su SMS sono compromessi tramite strumenti disponibili come Modlishka sfruttando una tecnica chiamata proxy inverso. Ciò facilita la comunicazione tra la vittima e un servizio che viene rappresentato, quindi, nel caso di Modlishka, intercetterà la comunicazione tra un servizio autentico e una vittima e traccerà e registrerà le interazioni delle vittime con il servizio, comprese eventuali credenziali di accesso che potrebbero utilizzare.
Il team di sicurezza informatica oltre a queste esistenti vulnerabilità, ha rilevato ulteriori vulnerabilità nella 2FA basata su SMS, è emerso che un particolare attacco sfrutta una funzionalità fornita su Google Play Store per installare automaticamente app dal Web sul dispositivo Android della vittima. Praticamente se un utente malintenzionato ha accesso alle tue credenziali e riesce ad accedere al tuo account Google Play su un laptop (anche se riceverai una richiesta), potrà installare automaticamente sul tuo smartphone qualsiasi app desideri.
L’attacco ad Android
Il team di sicurezza informatica ha detto:
«I nostri esperimenti hanno rivelato che un malintenzionato con poco sforzo può accedere in remoto alla 2FA basata su SMS di un utente, attraverso l’uso di un’app popolare (nome e tipo omessi per motivi di sicurezza) progettata per sincronizzare le notifiche dell’utente su diversi dispositivi. Gli aggressori, in particolare, possono sfruttare una combinazione e-mail/password compromessa collegata a un account Google (come username@gmail.com) per installare in modo nefasto un’app di mirroring dei messaggi prontamente disponibile sullo smartphone di una vittima tramite Google Play. È questo uno scenario realistico poiché è normale che gli utenti utilizzino le stesse credenziali in una varietà di servizi. L’utilizzo di un gestore di password è un modo efficace per rendere più sicura la tua prima linea di autenticazione, il tuo login con nome utente/password. L’autore dell’attacco una volta installata l’app, può applicare semplici tecniche di ingegneria sociale per convincere l’utente ad abilitare le autorizzazioni necessarie affinché l’app funzioni correttamente, ad esempio, possono fingere di chiamare da un fornitore di servizi legittimo per convincere l’utente ad abilitare le autorizzazioni. Successivamente possono ricevere in remoto tutte le comunicazioni inviate al telefono della vittima, inclusi i codici monouso utilizzati per 2FA».
Il suddetto attacco sebbene debbano essere soddisfatte più condizioni affinché funzioni, dimostra ancora la natura fragile dei metodi 2FA basati su SMS, e ancora più importante, questo attacco per prendere di mira una vittima, non necessita di capacità tecniche di fascia alta, richiede semplicemente informazioni su come funzionano queste app specifiche e su come usarle in modo intelligente (insieme all’ingegneria sociale). La minaccia è ancora più reale quando l’aggressore è un individuo fidato (ad esempio un familiare) con accesso allo smartphone della vittima.
Qual è l’alternativa?
Il team di sicurezza informatica ha consigliato:
«Per rimanere protetto online, dovresti verificare se la tua linea di difesa iniziale è sicura. Prima controlla la tua password per vedere se è compromessa. Esistono numerosi programmi di sicurezza che ti consentono di farlo. E assicurati di utilizzare una password ben congegnata. Ti consigliamo inoltre di limitare l’uso degli SMS come metodo 2FA, se possibile. Puoi invece utilizzare codici monouso basati su app, ad esempio tramite Google Authenticator, in questo caso il codice viene generato all’interno dell’app Google Authenticator sul tuo dispositivo, anziché essere inviato a te. Tuttavia, questo metodo può essere compromesso anche dagli hacker che utilizzano malware sofisticati; una migliore alternativa sarebbe quella di utilizzare dispositivi hardware dedicati come YubiKey (sviluppato per la prima volta nel 2008, è un dispositivo di autenticazione progettato per supportare password monouso e protocolli 2FA senza dover fare affidamento su 2FA basati su SMS). Si tratta di piccoli dispositivi USB (o abilitati alla comunicazione campo-vicino) che forniscono un modo semplificato per abilitare 2FA su diversi servizi. Tali dispositivi fisici devono essere collegati o portati nelle immediate vicinanze di un dispositivo di accesso come parte di 2FA, riducendo quindi i rischi associati ai codici visibili una tantum, come i codici inviati tramite SMS».
Va sottolineato che una condizione sottostante a qualsiasi alternativa 2FA è che l’utente deve avere un certo livello di partecipazione attiva e responsabilità; allo stesso tempo, fornitori di servizi, sviluppatori e ricercatori devono svolgere ulteriori lavori per sviluppare metodi di autenticazione più accessibili e sicuri, in sostanza, questi metodi devono andare oltre l’autenticazione a due fattori (2FA) e verso un ambiente di autenticazione a più fattori, in cui più metodi di autenticazione vengono distribuiti e combinati contemporaneamente secondo necessità.