Skip to content
Android Blog Italia

Android Blog Italia

Tutto quello che devi sapere sul mondo Android e della tecnologia

Primary Menu
  • News
    • Visualizza Tutto
    • Smartphone
    • Tablet
    • Accessori
  • Guide
    • Visualizza Tutto
    • Programmazione
  • Recensioni
    • Visualizza Tutto
  • Applicazioni
    • Visualizza tutto
  • Giochi
    • Visualizza Tutto
  • Guide e tutorial per Android
  • News su Android, tutte le novità
  • Sticky

Le 4 vulnerabilità di sicurezza della 2FA via SMS

Redazione 16/02/2022
SMS OTP 2FA

L’utilizzo dell’autenticazione a due fattori (2FA) o, ancora meglio, dell’autenticazione multi fattore (MFA), è forse il consiglio maggiormente dato dagli esperti di sicurezza informatica insieme con l’uso di password lunghe, complesse e univoche. Non a caso Google stessa ha visto che l’obbligatorietà imposta per l’utilizzo della 2FA ha ridotto del 50% la violazione degli account. Ma di 2FA ne esistono di vari tipi.

Al giorno d’oggi, molte applicazioni e servizi utilizzano un servizio automatizzato per inviare codici 2FA tramite SMS al telefono cellulare dell’utente per confermarne l’identità. Ad esempio, alcune app bancarie richiedono all’utente di inserire la propria e-mail o il nome utente e il sistema di back-end della banca invia un codice di autenticazione al telefono cellulare registrato nel database. Una volta che l’utente riceve il codice sul proprio telefono cellulare, può utilizzarlo per accedere al proprio conto bancario tramite l’app mobile o il desktop. Questo sistema che implica l’uso degli SMS però non fornisce una protezione adeguata.

4 vulnerabilità della 2FA via SMS

Stando agli esperti di sicurezza informatica, esistono almeno 4 negatività nell’utilizzo della 2FA via SMS:

  • Creazione di un sito web falso (Phishing): l’hacker in qualche modo convince il bersaglio a navigare su un sito web falso, mascherandosi da servizio protetto legittimo (es. conto bancario degli utenti). Una volta sul sito Web falso, l’utente tenta di accedere al proprio account inserendo la propria identificazione utente e attivando un codice 2FA, che inserisce nel sito falso. L’hacker quindi cattura l’ID e il codice, entra nel sito reale e prende il controllo dell’account dell’utente.
  • Furto di identità mobile (SIM swap) – l’hacker convince illegittimamente l’operatore telefonico (MNO) del bersaglio (impersonando quest’ultimo) a rilasciare una nuova scheda SIM. Ciò si ottiene sfruttando procedure di sicurezza scadenti ed errori umani da parte del personale dell’MNO. Una volta che la nuova SIM viene utilizzata dall’hacker, tutti gli SMS inviati al bersaglio vengono re-indirizzati, inclusi eventuali codici per la 2FA, che consentono di accedere a siti e app protetti.
  • Attacco SS7 (dirottamento SMS) – L’hacker può ottenere l’accesso in modo dannoso alla rete SS7 globale e manipolare la rete MNO del bersaglio in modo che gli SMS del bersaglio vengono re-indirizzati in una posizione falsa, raggiungendo un dispositivo gestito dall’hacker.
  • Torre cellulare falsa e attacco Man-in-the-Middle – Utilizzando un ripetitore falso, l’hacker costringe il dispositivo mobile del bersaglio a connettersi a una rete mobile falsa, controllata dall’hacker utilizzando un dispositivo chiamato “ricevitore IMSI”. Una volta che il dispositivo attaccato è agganciato all’IMSI Catcher, l’hacker riceve i dati dal telefono del bersaglio e, nel frattempo, lo impersona collegandosi alla rete reale dell’operatore. L’hacker ha quindi il controllo di tutte le comunicazioni tra il dispositivo di destinazione e la rete e può anche intercettare i codici SMS 2FA per ottenere l’accesso a qualsiasi sistema desiderato. 

Alternative alla 2FA via SMS

Le principali due alternative a questa soluzione implicano l’uso di un’applicazione che genera codici OTP che però non mette al riparo da attacchi di phishing e “man-in-the-middle” e l’uso di chiavi di sicurezza fisiche come le Yubikey (la miglior soluzione).

Continue Reading

Previous: Perché il Samsung Galaxy S22 è meglio del Galaxy S22+
Next: Hitman Sniper: The Shadows su Android dal 3 marzo | Pre-registrazione

Articoli Correlati

Screenshot
  • News su Android, tutte le novità

Fatti di WordPress: la community italiana che aiuta chi usa WordPress ogni giorno

Redazione 27/06/2025
apphomebanking
  • News su Android, tutte le novità

App bancarie a confronto: chi vince?

Redazione 26/06/2025
AliExpress Affidabile Guida Acquisto AndroidBlog.it
  • News su Android, tutte le novità

Il social commerce spiegato in tre punti: come vendere davvero sui social

Redazione 16/06/2025

Ultime News

Screenshot
  • News su Android, tutte le novità

Fatti di WordPress: la community italiana che aiuta chi usa WordPress ogni giorno

Redazione 27/06/2025
WordPress è uno dei CMS (Content Management System) più utilizzati al mondo per la creazione di siti...
Leggi tutto Read more about Fatti di WordPress: la community italiana che aiuta chi usa WordPress ogni giorno
App bancarie a confronto: chi vince? apphomebanking
  • News su Android, tutte le novità

App bancarie a confronto: chi vince?

26/06/2025
Il social commerce spiegato in tre punti: come vendere davvero sui social AliExpress Affidabile Guida Acquisto AndroidBlog.it
  • News su Android, tutte le novità

Il social commerce spiegato in tre punti: come vendere davvero sui social

16/06/2025
Sviluppo software su misura: perché è una scelta vincente e quando prenderla in considerazione Crittografia hardware e software
  • News su Android, tutte le novità

Sviluppo software su misura: perché è una scelta vincente e quando prenderla in considerazione

22/05/2025
Recensione Gamesir X5 Lite: economico ma funzionale X5-Lite-6-1536x864
  • Giochi Android
  • News su Android, tutte le novità
  • Recensioni Android

Recensione Gamesir X5 Lite: economico ma funzionale

12/05/2025
Copyright © Tutti i diritti riservati | MoreNews by AF themes.
×

Questo sito utilizza i cookie, anche di terze parti, per garantirvi una esperienza di utilizzo ottimale.
Si rinvia all'informativa estesa per ulteriori informazioni. La prosecuzione nella navigazione (click, scroll, ...) comporta l'accettazione dei cookie.

 

Ok