Una vulnerabilità di Android favorisce il phishing

8 novembre, 2012 Nessun commento »

Esistono applicazioni per Android che possono indurre gli utenti a credere di aver ricevuto un SMS da una persona arbitraria. Queste app possono inserire un qualunque contenuto all’interno di questi SMS fasulli, generando così un ondata di pericoloso phishing.


La cosa, che a prima vista può sembrare banale, crea i presupposti perfetti per il phishing, anzi, in questo caso per l’SMiShing. Un’app maliziosa di questo tipo potrebbe, ad esempio, realizzare un testo che potrebbe essere scambiato per un messaggio proveniente da PayPal o da un altro servizio finanziario, con il quale viene richiesto l’inserimento dei dati di accesso al servizio in un sito modificato ad arte per rubare quei dati.

La vulnerabilità è stata scoperta dal team di ricercatori di Xuxian Jiang alla North Carolina State University, uno dei più attivi nel campo della sicurezza Android. I ricercatori hanno postato un video su YouTube in cui viene dimostrato come funziona un’applicazione del genere in Android 4.0.4 Ice Cream Sandwich e nel vecchio Android 1.6 Donut. La vulnerabilità affligge anche l’attuale versione di Android, e l’applicazione non ha bisogno di particolari permessi per essere eseguita.

Inoltre, visto che il messaggio non viene spedito o ricevuto da destinazioni esterne, non è neanche richiesta la scheda SIM. Jiang ha detto che non c’è modo di distinguere un SMS falso da uno vero. Google ha confermato l’esistenza del problema e promesso una soluzione, anche se al proposito non sono state fornite date precise.

SMS-phishing

Fonte: The H Open
Foto: itbox

Potrebbero interessarti ...