L’allarme arriva da Genians, azienda specializzata in cybersecurity: la funzione “Find Hub” di Google, progettata per localizzare e proteggere i dispositivi smarriti, viene ora sfruttata da gruppi hacker sponsorizzati dallo stato nordcoreano per scopi malevoli. L’obiettivo non è più aiutare l’utente, ma spiarlo e, nei casi più gravi, cancellare da remoto tutti i suoi dati personali. La tecnica non sfrutta una vulnerabilità del sistema, ma si basa sul furto delle credenziali dell’account Google, rendendo fondamentale per gli utenti adottare misure di protezione avanzate.
Il meccanismo dell’attacco: dal malware al controllo totale
Come riportato nel dettaglioato rapporto di Genians, l’attacco segue una sequenza precisa e insidiosa. Il punto di ingresso non è una falla nel codice di Android o di Find Hub, bensì l’ingegneria sociale e il malware. Gli hacker, infatti, inducono le vittime a installare software malevolo, spesso camuffato da applicazioni legittime come la popolare app di messaggistica KakaoTalk. Una volta che il malware è attivo sul dispositivo, il suo compito principale è rubare le credenziali di accesso all’account Google della persona presa di mira.
Con nome utente e password in loro possesso, i criminali informatici ottengono le chiavi del regno. Accedono a tutti i servizi Google associati a quell’account, incluso proprio Find Hub. A questo punto, sfruttano le funzioni legittime della piattaforma per attività illecite. Possono tracciare in tempo reale la posizione geografica della vittima, violandone la privacy e la sicurezza fisica. L’azione più distruttiva, tuttavia, è l’invio del comando di ripristino ai dati di fabbrica. Questa funzione, concepita per proteggere i dati in caso di furto, viene così capovolta e utilizzata per cancellare irreversibilmente tutte le informazioni presenti sul telefono o sul tablet.
La posizione di Google: non è una vulnerabilità, ma serve più cautela
Interpellata sulla questione, Google ha confermato la natura dell’attacco, sottolineando come non sia stato sfruttato alcun bug nei suoi sistemi. Un portavoce ha dichiarato ad Android Authority che “questo attacco non ha sfruttato alcuna falla di sicurezza in Android o in Find Hub. Il report indica che questo attacco mirato ha richiesto la presenza di malware su un PC per rubare le credenziali dell’account Google e abusare delle funzioni legittime di Find Hub”. L’azienda di Mountain View ha quindi ribadito la sua raccomandazione principale: abilitare la verifica in due passaggi o utilizzare le passkey per una protezione completa contro il furto di credenziali.
Tuttavia, l’episodio solleva una questione cruciale sulla sicurezza proattiva. Il fatto che con il solo accesso all’account sia possibile eseguire azioni irreversibili come la cancellazione totale dei dati, senza ulteriori verifiche, espone gli utenti a rischi significativi. La comunità della sicurezza ritiene che Google potrebbe implementare meccanismi di sicurezza aggiuntivi, come la richiesta di un PIN specifico o di risposte a domande segrete, prima di autorizzare un comando così drastico e definitivo come il ripristino da remoto.
Come proteggersi da questo tipo di minacce
La difesa da queste campagne di hacking passa principalmente da comportamenti prudenti e dall’attivazione di tutti gli strumenti di sicurezza a disposizione. Ecco le misure essenziali da adottare immediatamente:
- Abilitare la verifica in due fattori (2FA): Questa è la misura più importante. Anche se un malintenzionato ruba la password, senza il secondo fattore di autenticazione (come un codice via SMS, una notifica sull’app o una chiave fisica) non potrà accedere al vostro account.
- Utilizzare passkey o un gestore di password: Le passkey sono un metodo di accesso più sicuro delle password tradizionali. In alternativa, un buon gestore di password aiuta a creare e memorizzare credenziali complesse e uniche per ogni servizio.
- Prestare massima attenzione alle app installate: Scaricate applicazioni solo dagli store ufficiali come il Google Play Store e verificate sempre le recensioni e le autorizzazioni richieste. Diffidate di link o app provenienti da fonti sconosciute.
- Monitorare l’attività dell’account Google: Controllate periodicamente la cronologia degli accessi al vostro account per identificare eventuali attività sospette provenienti da dispositivi o luoghi non riconosciuti.
- Mantenere il dispositivo aggiornato: Installare sempre gli ultimi aggiornamenti di sicurezza per il sistema operativo e per tutte le applicazioni, in modo da patchare eventuali vulnerabilità note.
Questo caso dimostra come gli strumenti più utili possano essere distorti per fini criminali se non protetti adeguatamente. La sicurezza informatica è un processo continuo che richiede la collaborazione tra aziende, che devono costruire sistemi resilienti, e utenti, che devono adottare abitudini digitali consapevoli. La protezione dei propri dati inizia da gesti semplici ma fondamentali, come l’attivazione della verifica in due passaggi, che rappresenta oggi la barriera più efficace contro il furto di identità digitale.
