Broken Access: On the Challenges of Screen Reader Assisted Two-Factor and Passwordless Authentication

Questo studio introduce il framework AWARE per valutare l'accessibilità e la sicurezza dei metodi di autenticazione assistiti da screen reader, rivelando vulnerabilità critiche nei sistemi 2FA e passwordless che espongono gli utenti non vedenti a rischi come phishing e shoulder surfing.

L'essenziale

Ecco una spiegazione semplice e creativa del paper, pensata per chiunque, anche senza conoscenze tecniche.

🎧 Il "Guasto" nell'Accesso: Quando la Sicurezza Diventa un Labirinto per i Non Vedenti

Immagina di dover entrare in una banca digitale. Per gli occhi che vedono, è come camminare in un corridoio ben illuminato con cartelli chiari: "Premi qui", "Inserisci il codice", "Attenzione, è un falso".

Ma per una persona cieca o con disabilità visiva, questo corridoio è buio. Loro usano un lettore di schermo (come JAWS o VoiceOver), che è come un narratore invisibile che legge ad alta voce tutto ciò che appare sullo schermo. Il problema è che, quando si tratta di sicurezza (come i codici di accesso a due fattori o le chiavi di sicurezza), questo narratore spesso balbetta, confonde le parole o tace proprio quando è il momento più importante.

Questo studio, intitolato "Broken Access" (Accesso Rotto), ha scoperto che i metodi di sicurezza moderni, che dovrebbero proteggere tutti, stanno in realtà lasciando i non vedenti con la porta spalancata agli hacker.

---

🔍 Come hanno fatto la ricerca? (Il "Detective" AWARE)

Gli autori hanno creato un nuovo strumento chiamato AWARE. Immagina AWARE come un detective robotico che simula l'esperienza di un utente cieco.

Invece di chiedere a persone reali di provare a entrare (cosa che richiede tempo e fatica), AWARE:

1. Ascolta il narratore (il lettore di schermo).
2. Converte ciò che dice in testo.
3. Confronta il testo con quello che dovrebbe dire.
4. Simula gli attacchi degli hacker (come il phishing o la stanchezza da notifiche).

È come se il detective dicesse: "Ok, il narratore ha letto 'Benvenuto' invece di 'Attenzione, sito falso'. Ecco un buco nella sicurezza!".

---

🚨 I 5 Problemi Principali (Le Trappole)

Lo studio ha trovato cinque modi principali in cui la sicurezza "si rompe" per chi usa i lettori di schermo:

1. Il Narratore che non distingue i "Falsi" (Phishing)

Immagina che un hacker crei un sito che sembra identico a quello della tua banca, ma con un piccolo errore (es. banca-italia invece di banca-italia).

• Per chi vede: L'errore è ovvio.
• Per il lettore di schermo: Spesso legge il nome del sito come una parola unica, senza fare pause. Per l'orecchio, banca-italia e banca-italia suonano identici. L'utente cieco, fidandosi del narratore, potrebbe dare il suo codice a un ladro senza accorgersene.

2. La Notifica che Copre la Vera (Login Concorrente)

Immagina di ricevere una notifica sul telefono: "Vuoi accedere?".

• L'attacco: Un hacker invia centinaia di richieste di accesso nello stesso momento.
• Il problema: Il lettore di schermo legge solo l'ultima notifica arrivata, cancellando la precedente. L'utente pensa: "Ah, è la mia richiesta, confermo!", ma in realtà sta confermando l'accesso all'hacker. È come se qualcuno ti coprisse la bocca mentre cerchi di ascoltare una conversazione importante.

3. La Stanchezza da Notifiche (Fatigue)

Gli hacker inviano notifiche di accesso continue, una dopo l'altra, finché l'utente non è così stanco e frustrato da dire "Sì, sì, basta, confermo tutto!" pur di farle smettere.

• Il rischio: I lettori di schermo spesso non avvisano che ci sono troppe richieste, rendendo l'utente cieco più vulnerabile a questa tattica di "assedio mentale".

4. L'Orecchio Indiscreto (Shoulder Surfing)

Immagina di essere in un luogo pubblico. Il tuo lettore di schermo legge ad alta voce il tuo codice di sicurezza (OTP).

• Il problema: Se usi un computer e ricevi il codice sul telefono contemporaneamente, spesso uno dei due dispositivi non è protetto da cuffie. Un ladro vicino può semplicemente ascoltare il codice mentre il narratore lo legge ad alta voce. È come se il tuo narratore fosse un altoparlante pubblico che rivela i tuoi segreti a tutti.

5. Le Chiavi di Sicurezza che non si Vedono (FIDO)

Le nuove chiavi di sicurezza (come le chiavette USB) richiedono di toccare un sensore.

• Il problema: Il narratore spesso non dice dove mettere il dito o quale chiave usare. L'utente cieco deve indovinare. Se sbaglia, potrebbe confermare l'accesso a un sito falso invece che a quello vero.

---

📊 Cosa hanno scoperto? (I Numeri)

Lo studio ha testato 12 metodi di sicurezza diversi (codici SMS, app, chiavi USB) su 6 lettori di schermo diversi.

• Il risultato è scioccante: Mentre i lettori di schermo sono bravi a leggere un articolo di notizie (comprensione del 74-90%), crollano miseramente quando devono leggere istruzioni di sicurezza.
• In molti casi, la comprensione delle istruzioni di sicurezza è sotto il 50%. Significa che l'utente riceve meno della metà delle informazioni necessarie per proteggersi.

💡 La Soluzione: Cosa si può fare?

Il paper non si limita a dire "è tutto rotto", ma offre una mappa per ripararlo:

1. Per i Designer: Smettete di fare interfacce pensate solo per gli occhi. Usate testi chiari, non immagini senza descrizione, e assicuratevi che il narratore sappia leggere i nomi dei siti e i codici di sicurezza correttamente.
2. Per i Sviluppatori di Lettori di Schermo: Dovete diventare più intelligenti. Se rilevate un link sospetto, dovete urlare "ATTENZIONE!" invece di leggerlo tranquillamente. Dovete anche avvisare se ci sono troppe notifiche in arrivo.
3. La raccomandazione migliore: Attualmente, la combinazione più sicura sembra essere l'uso di chiavi di sicurezza FIDO (come le chiavette USB) insieme al lettore di schermo NVDA (su PC), che è stato il meno propenso a commettere errori.

🏁 Conclusione

In sintesi, oggi stiamo costruendo castelli digitali con mura altissime per chi vede, ma lasciando le porte aperte e le luci spente per chi non vede. Questo studio ci ricorda che la sicurezza non è vera sicurezza se non include tutti. Per proteggere davvero le persone, dobbiamo assicurarsi che il "narratore" non diventi mai un complice involontario degli hacker.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del documento di ricerca "Broken Access: On the Challenges of Screen Reader Assisted Two-Factor and Passwordless Authentication", presentata in italiano.

1. Il Problema

Nel panorama digitale attuale, i servizi web offrono nuove opportunità di indipendenza per le persone cieche e con disabilità visive. Tuttavia, i metodi di autenticazione web attualmente implementati sono progettati principalmente per utenti vedenti, trascurando le esigenze specifiche della comunità non vedente.

• Il Divario: Esiste una lacuna critica nella sicurezza e nell'accessibilità dei processi di autenticazione (inclusi 2FA, MFA e metodi senza password) quando utilizzati con tecnologie assistive come gli screen reader.
• Il Rischio: Le limitazioni di accessibilità costringono gli utenti non vedenti a compromessi che possono esporli a rischi di sicurezza maggiori, come l'incapacità di rilevare link di phishing, difficoltà nell'identificare codici OTP (One-Time Password) e vulnerabilità agli attacchi di "shoulder surfing" (osservazione spionistica) o esaurimento delle notifiche.
• Obiettivo: Valutare se i processi di autenticazione assistiti dagli screen reader introducano rischi di sicurezza che potrebbero facilitare gli obiettivi degli attaccanti.

2. Metodologia: Il Framework AWARE

Per affrontare questo problema, gli autori hanno sviluppato un framework chiamato AWARE (Authentication Workflows Accessibility Review and Evaluation). Questo strumento funge da precursore semi-automatizzato agli studi sugli utenti, permettendo di identificare precocemente problemi di sicurezza e accessibilità senza la necessità di costosi e lunghi test con utenti reali.

• Funzionamento Tecnico:

  • Raccolta Dati: Registra l'output audio degli screen reader durante i flussi di autenticazione.
  • Trascrizione e Analisi: Utilizza il motore di riconoscimento vocale IBM Watson per convertire l'audio in testo.
  • Valutazione della Comprensibilità: Confronta il testo generato con il testo originale della pagina web utilizzando la similarità del coseno (tramite la libreria pysimilar e vettori TF-IDF) per misurare quanto chiaramente lo screen reader comunica le istruzioni.
  • Test di Attacco: Simula scenari di attacco reali e basati sulla letteratura (phishing, login concorrenti, esaurimento delle notifiche, shoulder surfing, attacchi cross-service e downgrading).

• Ambiti di Test:
  Lo studio ha valutato 12 metodi di autenticazione reali (varianti di 2FA e passwordless) su 6 screen reader diversi, coprendo tre scenari principali:

  1. PC con screen reader (JAWS, NVDA, Dolphin, ChromeVox).
  2. Smartphone con screen reader integrati (VoiceOver per iOS, TalkBack per Android).
  3. Uso simultaneo di PC e Smartphone (scenario comune per l'invio di OTP).

3. Contributi Chiave

1. Concetto di Autenticazione Assistita da Screen Reader: Modellazione sistematica del problema che esamina le sfide di sicurezza e accessibilità di metodi reali (OTP, push, FIDO, chiamate telefoniche) dal punto di vista degli utenti non vedenti.
2. Framework AWARE: Introduzione di un metodo qualitativo e quantitativo per valutare l'interazione tra screen reader e flussi di autenticazione, identificando problemi prima dei test utente finali.
3. Valutazione Sistematica: Analisi dettagliata di 12 metodi di autenticazione su 6 screen reader, rivelando vulnerabilità critiche e sfide di accessibilità precedentemente non mappate in modo così esteso.

4. Risultati e Scoperte Principali

A. Problemi di Accessibilità e Comprensibilità

• Calo drastico della comprensibilità: Mentre gli screen reader raggiungono una comprensibilità superiore al 74% per testi generali (es. articoli di notizie), questa scende drasticamente per le istruzioni di autenticazione. In 22 su 33 configurazioni incrociate, la comprensibilità è inferiore al 50%.
• Errori di Comunicazione Critica (CBI):
  • Conflitto di Istruzioni (CBI): Gli screen reader a volte leggono istruzioni di navigazione che confliggono con altri passaggi (es. una chiamata OTP che interrompe la lettura di un messaggio di sicurezza), causando disconnessione delle cuffie e rischi di shoulder surfing.
  • Pronuncia Numerica (NPO): Alcuni screen reader pronunciano gli OTP come numeri interi (es. "mille duecento trentaquattro" per "1234") invece che cifra per cifra, rendendo difficile l'input.
  • Impossibilità di Comunicare (UCO/UCSP/UCEOB): Molti screen reader non riescono a leggere codici OTP da app desktop (es. WinAuth mostra asterischi) o non riescono a comunicare prompt di sicurezza esterni al browser (es. finestre di sicurezza di Windows per FIDO).

B. Vulnerabilità di Sicurezza

• Phishing: Gli screen reader hanno difficoltà a distinguere link di phishing da quelli legittimi perché pronunciano i domini come parole intere (es. "bankofamerica" vs "bankoffamerica" suonano simili). Gli utenti non vedenti non possono ispezionare visivamente l'URL.
• Login Concorrente e Notifiche:
  • Gli attaccanti possono sovrascrivere le notifiche legittime con quelle malevole. In scenari con VoiceOver e TalkBack, la notifica più recente (quella dell'attaccante) viene letta, ingannando l'utente.
  • Esaurimento delle Notifiche (Fatigue): Gli utenti possono essere bombardati di notifiche push fino a cedere per stanchezza mentale. Microsoft Select-Confirm e Google Push sono vulnerabili a questo attacco.
• Shoulder Surfing: Quando si usa un PC e uno smartphone contemporaneamente, è difficile proteggere entrambi i dispositivi con cuffie. Se lo screen reader legge un OTP ad alta voce su un dispositivo non protetto, l'attaccante può intercettarlo.
• Vulnerabilità FIDO (Passkeys):
  • Attacco di Overlay: Alcuni screen reader (JAWS, Dolphin) leggono informazioni false sovrapposte a quelle reali.
  • Cross-Service: ChromeVox non legge le finestre di dialogo di sicurezza di Windows, rendendo gli utenti vulnerabili ad attacchi che manipolano il servizio di autenticazione.
  • Downgrading: Gli attaccanti possono sfruttare le limitazioni degli screen reader per forzare un downgrade da FIDO a metodi più deboli come OTP.

C. Classificazione dei Metodi

• Più vulnerabili: Metodi basati su OTP via SMS/chiamata (problemi di CBI e NPO) e Authy su desktop (inaccessibile a ChromeVox).
• Migliore compromesso: FIDO (Titan Security Key) con NVDA ha mostrato la migliore accessibilità e sicurezza, sebbene non sia privo di difetti.
• Scenario Critico: L'uso simultaneo di PC e Smartphone è classificato come "estremamente vulnerabile" a causa dell'impossibilità pratica di proteggere entrambi i dispositivi dalle intercettazioni audio.

5. Significato e Implicazioni

Questo studio evidenzia che le soluzioni di autenticazione moderne, sebbene sicure per gli utenti vedenti, possono creare un "falso senso di sicurezza" per gli utenti non vedenti, esponendoli a rischi significativamente più elevati.

• Per i Progettisti: Il framework AWARE offre uno strumento per testare e iterare sui flussi di autenticazione prima del rilascio, riducendo i costi e i rischi legati ai test utente.
• Raccomandazioni:
  • Integrare rilevatori di phishing e overlay malevoli direttamente negli screen reader.
  • Progettare interfacce che evitino conflitti tra chiamate telefoniche e letture dello screen reader.
  • Fornire istruzioni chiare, concise e compatibili con gli screen reader.
  • Considerare l'uso di FIDO con NVDA come soluzione preferibile attuale.
• Conclusione: È necessaria una collaborazione interdisciplinare tra esperti di sicurezza, servizi per la disabilità e HCI per sviluppare metodi di autenticazione che siano realmente sicuri ed equi per tutti gli utenti.