Molti gestori di password vulnerabili all’attacco di AutoSpill su Android
Molti gestori di password per Android vulnerabili all'attacco di AutoSpill
Un team di ricercatori ha scoperto una nuova vulnerabilità, chiamata “AutoSpill”, che colpisce diversi popolari gestori di password su dispositivi Android, secondo un recente rapporto di ENBLE. La vulnerabilità consente alle app dannose di accedere alle credenziali di accesso sensibili degli utenti memorizzate nei gestori di password sfruttando la funzione di autocompletamento del componente WebView di Android.
Secondo Ankit Gangwal, Shubham Singh e Abhijeet Srivastava del IIIT Hyderabad in India, la vulnerabilità funziona ingannando i gestori di password nel riempire automaticamente le credenziali in campi di testo nativi dell’app quando l’app mostra una pagina di accesso attraverso un WebView anziché avviare un browser web esterno.
“Anche senza phishing, qualsiasi app dannosa che chiede di effettuare l’accesso tramite un altro sito, come Google o Facebook, può accedere automaticamente a informazioni sensibili”, ha spiegato Gangwal.
I ricercatori hanno testato AutoSpill su popolari gestori di password come 1Password, LastPass, Keeper ed Enpass su dispositivi Android completamente aggiornati. Hanno scoperto che la maggior parte delle app è vulnerabile anche con le protezioni contro le iniezioni di JavaScript attivate. Con JavaScript abilitato, tutti i gestori di password testati erano suscettibili.
Le implicazioni sono serie considerando la popolarità dei gestori di password per memorizzare informazioni di accesso sensibili per vari servizi online. Se sfruttata, la vulnerabilità fornisce alle app dannose un facile accesso a un tesoro di nomi utente e password.
- Nuovo aggiornamento Samsung scatena una serie di bug su molti telef...
- Nuova app potrebbe presto portare FaceTime e bolle blu sui telefoni...
- Iphone 15 Pro presto otterrà un grande aumento della messa a fuoco
Gangwal ha comunicato le scoperte sia a Google che agli sviluppatori dei gestori di password interessati. 1Password ha riconosciuto la vulnerabilità e sostiene di aver identificato una soluzione che sarà inclusa in una futura aggiornamento. Anche LastPass ha adottato misure di mitigazione. Altri fornitori devono ancora commentare pubblicamente o confermare i piani per affrontare il problema.
Il team di ricerca afferma di essere ancora in fase di indagine per verificare se un attacco simile sia possibile su dispositivi iOS. Per ora, gli utenti Android dovrebbero essere cauti nell’inserire le credenziali nei campi di testo delle app native, anche se richiesto da una pagina di accesso basata su WebView. Come sempre, installare solo app da fonti affidabili come il Google Play Store.
La ricerca su AutoSpill mette in luce la crescente sfida di proteggere le credenziali nell’ecosistema moderno delle app. Con l’aumentare del passaggio dai sistemi di accesso web ai flussi di accesso integrati nelle app, si scoprono ancora molti rischi.
