Nasce dall’Università di Padova la app che mette in sicurezza Android, impedendo che qualcuno spii il nostro smartphone mentre altre applicazioni (soprattutto quelle dei social) dialogano con un server remoto. La ha elaborata il professore Mauro Conti, in collaborazione con uno studente, Sebastiano Gottardo, e con Nicola Dragoni, docente della Technical University of Denmark.
La soluzione, chiamata Mithys (Mind The Hand You Shake), è stata presentata all’European Symposium on Research in Computer Security tenutosi ad Egham nel Regno Unito. Mithys permette da un lato di identificare le applicazioni che hanno questa vulnerabilità e di avvisare l’utente del rischio; dall’altro, qualora l’utente continuasse ad usare l’app in questione, può proteggere da un attacco.
Mithys insomma affronta di petto uno dei problemi evidenziati da molte applicazioni per smartphone Android, risultate vulnerabili ad attacchi del tipo «Man in the Middle» (Mitm): quando l’app scaricata sul telefono parla con un server remoto, come quello di alcuni social, o di una banca ad esempio, è possibile che un «attaccante» si metta nel mezzo della comunicazione, intercettando ed eventualmente modificando i messaggio scambiati tra l’app e il server. Questo, oltre che violare la privacy delle informazioni scambiate, può avere accesso a servizi per nome e conto del vero utente. Questo è possibile se i programmatori delle app non implementano adeguatamente il protocollo Ssl, un sistema di sicurezza pensato proprio per evitare questi problemi che, se non implementato correttamente, non funziona.
«Il punto di forza è che il nostro sistema – sottolinea il professor Conti Conti – funziona sullo smartphone dell’utente con una semplice installazione di una nostra applicazione, capace di fare sul telefono i dovuti controlli, senza che l’utente debba reinstallare il sistema operativo. Mithys richiama, proprio nel nome, l’attenzione sulla fase chiamata appunto handshaking del protocollo SSL, che è proprio la fase su cui risulta essere la vulnerabilità.»