back to top

BitM: quando anche la 2FA non è sicura

Franco Tommasi, Christian Catalano e Ivan Taurino sono tre ricercatori dell’Università del Salento e orgoglio della ricerca italiana che nell’aprile del 2021 hanno prodotto una pubblicazione dedicata alla BitM (Browser-in-the-Middle), una tecnica di attacco che permetterebbe di aggirare i sistemi di sicurezza basati sull’autenticazione a 2 fattori.

In pratica BitM prevede che un utente clicchi su un link e venga così portato a visitare un sito Web, a quest’ultimo gli utenti malintenzionati possono sovrapporre una finestra per il login tramite la quale raccogliere le credenziali di accesso. Qui troviamo una prima differenza rispetto a quanto avviene nel phishing perché il sito di destinazione è di fatto autentico.

Pubblicitร 

Questo particolare fa in modo che la conferma d’identità inviata dall’utente tramite l’autenticazione a 2 fattori sia valida anche per chi ha condotto l’attacco. Quest’ultimo, che già possiede il primo fattore di accesso grazie alla finestra di autenticazione descritta in precedenza, potrà quindi impersonare la vittima ed entrare in un’area personale con tutte le conseguenze del caso.

A circa un anno dalla scoperta, il BitM ha ricominciato a far parlare di sé per due motivi, il primo riguarda quanto pubblicato su Twitter da un account dedicato alla sicurezza informatica (mr.d0x) che in un suo post descrive una tecnica molto simile a quella riportata dai ricercatori italiani con conseguenti polemiche riguardanti la paternità della scoperta.

Il secondo motivo è relativo al fatto che per il momento non esisterebbe alcuna contromisura utile a bloccare gli attacchi basati sulla BitM, alcuni dei maggiori browser vendor mondiali come per esempio Google, Microsoft e Apple sarebbero stati già avvertiti dell’esistenza di questo problema ma i loro sviluppatori non avrebbero trovato ancora una soluzione.

Iscriviti a Google News Per restare sempre aggiornato seguici su Google News! Seguici
Pubblicitร 
Claudio Garau
Claudio Garau
Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Leggi anche...

Trump diventa operatore telefonico con un suo smartphone

Si chiama Trump Mobile ed รจ un operatore virtuale...

WhatsApp: arriva la pubblicitร  (non nelle chat)

WhatsApp ha lanciato alcune nuove funzionalitร  dedicate alla scoperta...

Google Audio Overviews: riepiloghi vocali con l’AI nei risultati di ricerca

Google ha lanciato una nuova funzionalitร  sperimentale chiamata Audio...

La Danimarca abbandona Office 365 e Windows e li sostituisce con Linux e LibreOffice

La Danimarca si prepara ad abbandonare i prodotti Microsoft...

ChatGPT conferma le teorie del complotto?

Un recente articolo del New York Times ha portato...

Meta AI ha un grosso problema di privacy

Sembrerebbe essere bastato poco perchรฉ la nuova applicazione stand-alone...
Pubblicitร