L'autenticazione a due fattori si può bucare, e non c'è soluzione: la scoperta italiana

L'autenticazione a due fattori si può bucare, e non c'è soluzione: la scoperta italiana
di

L’autenticazione a due fattori è tutt’altro che inviolabile. Anzi, si può bucare e non c’è una soluzione per impedire ciò. La scoperta è tutta italiana, e ne parla oggi Repubblica.

Il professore associato di Elaborazione delle Informazioni presso il Dipartimento di Ingegneria dell’Innovazione dell’Università del Salento, Franco Tommasi, insieme a Christian Catalano ed Ivan Taurino hanno pubblicato uno studio in cui si parla di un nuovo tipo di attacco informatico che consentirebbe di bypassare la 2FA, permettendo quindi di accedere ai profili che fino ad ora apparivano inviolabili in quanto protetti dal doppio passaggio.

La ricerca, ripresa da Repubblica, mostra che la 2FA può portare ad una riduzione importante dell’efficacia per gli utenti meno accorti attraverso un attacco che verrebbe avviato con la banale tecnica di phishing dove per l’utente non viene reindirizzato ad un sito web fasullo, ma al sito autentico.

L’attacco, soprannominato “Browser In The Middle Attack”, consiste proprio nel far visualizzare nel browser di un utente un altro browser che fa da intermediario e quindi consente di bucare la 2FA.

Alla base del metodo c’è lo stesso protocollo usato per controllare lo schermo di un computer remoto. Nel nostro caso la vittima visualizza lo schermo dell’attaccante, un browser web a tutto schermo che sta in realtà sta ‘visitando’ il sito autentico. La vittima così interagisce con il computer dell’attaccante senza rendersene conto, credendo di stare visitando il sito autentico” ha spiegato il professor Tommasi a Repubblica, a cui ha affermato che prima della pubblicazione dello studio sono stati interpellato ed avvisati i principali sviluppatori di browser web (Google ed Apple) per ragioni di sicurezza.

Un hacker, mr.d0x, ha potuto testare l’attacco lo scorso 23 Febbraio 2022, osservando che funziona ancora ed è efficace sebbene siano passati 11 mesi dalla pubblicazione e comunicazione gli sviluppatori.