Alcuni gestori di password commerciali possono essere vulnerabili agli attacchi informatici da parte di app false, suggerisce una nuova ricerca.

Gli esperti di sicurezza consigliano di utilizzare un complesso, password casuale e univoca per ogni account online, ma ricordarli tutti sarebbe un compito impegnativo. È qui che i gestori di password tornano utili.

Depositi crittografati a cui si accede da una singola password principale o PIN, memorizzano e compilano automaticamente le credenziali per l'utente e sono altamente raccomandati dal National Cyber ​​Security Centre del Regno Unito.

Però, ricercatori dell'Università di York hanno dimostrato che alcuni gestori di password commerciali potrebbero non essere un modo a tenuta stagna per garantire la sicurezza informatica.

Dopo aver creato un'app dannosa per impersonare un'app Google legittima, sono stati in grado di ingannare due dei cinque gestori di password che hanno testato per fargli dare una password.

Il team di ricerca ha scoperto che alcuni gestori di password utilizzavano criteri deboli per identificare un'app e quale nome utente e password suggerire per la compilazione automatica. Questa debolezza ha permesso ai ricercatori di impersonare un'app legittima semplicemente creando un'app canaglia con un nome identico.

Autore senior dello studio, Dr. Siamak Shahandashti del Dipartimento di Informatica dell'Università di York, ha dichiarato:"Le vulnerabilità nei gestori di password offrono agli hacker l'opportunità di estrarre le credenziali, compromettere le informazioni commerciali o violare le informazioni sui dipendenti. Poiché sono custodi di molte informazioni sensibili, un'analisi rigorosa della sicurezza dei gestori di password è fondamentale.

"Il nostro studio mostra che un attacco di phishing da un'app dannosa è altamente fattibile:se una vittima viene indotta con l'inganno a installare un'app dannosa, sarà in grado di presentarsi come un'opzione legittima nel prompt di riempimento automatico e avrà un'alta probabilità di successo".

"Alla luce delle vulnerabilità in alcuni gestori di password commerciali che il nostro studio ha esposto, suggeriamo che debbano applicare criteri di corrispondenza più rigorosi che non si basino semplicemente sul presunto nome del pacchetto di un'app."

I ricercatori hanno anche scoperto che alcuni gestori di password non avevano un limite al numero di volte in cui era possibile inserire un PIN principale o una password. Ciò significa che se gli hacker avessero accesso al dispositivo di un individuo potrebbero lanciare un attacco di "forza bruta", indovinare un PIN a quattro cifre in circa 2,5 ore.

Oltre a queste nuove vulnerabilità, i ricercatori hanno anche stilato un elenco di vulnerabilità precedentemente divulgate identificate in uno studio precedente e hanno verificato se fossero state risolte. Hanno scoperto che mentre il più grave di questi problemi era stato risolto, molti non erano stati affrontati.

I ricercatori hanno rivelato queste vulnerabilità ai gestori di password.

Autore principale dello studio, Michael Carr, che ha svolto la ricerca mentre studiava per il suo Master in Cyber ​​Security presso il Dipartimento di Informatica, Università di York, ha dichiarato:"Nuove vulnerabilità sono state trovate attraverso test approfonditi e divulgate responsabilmente ai fornitori. Alcune sono state risolte immediatamente mentre altre sono state ritenute di bassa priorità.

"Sono necessarie ulteriori ricerche per sviluppare modelli di sicurezza rigorosi per i gestori di password, ma consigliamo comunque a privati ​​e aziende di utilizzarli in quanto rimangono un'opzione più sicura e utilizzabile. Anche se non è impossibile, gli hacker dovrebbero lanciare un attacco abbastanza sofisticato per accedere alle informazioni che memorizzano".

La rivisitazione delle vulnerabilità della sicurezza nei gestori di password commerciali sarà presentata alla 35a Conferenza internazionale sulla sicurezza dei sistemi ICT e la protezione della privacy (IFIP SEC 2020) a settembre, 2020.