L'attacco AutoSpill ruba credenziali da gestori di password Android

I ricercatori dell'International Institute of Information Technology di Hyderabad hanno sviluppato un nuovo attacco, chiamato AutoSpill. Questo è in grado di rubare le credenziali dell'account su Android durante l'operazione di riempimento automatico. Durante una presentazione svoltasi alla conferenza sulla sicurezza Black Hat Europe, i ricercatori hanno affermato che i loro test hanno dimostrato che la maggior parte dei gestori di password per Android sono vulnerabili all'AutoSpill, anche se non viene eseguita l'iniezione JavaScript. I gestori di password su Android utilizzano il framework WebView della piattaforma per digitare automaticamente le credenziali dell'account di un utente quando un'app carica la pagina di accesso a servizi come Apple, Facebook, Microsoft o Google. Secondo i ricercatori è possibile sfruttare i punti deboli di questo processo per acquisire le credenziali compilate automaticamente sulle app.  Se le iniezioni JavaScript sono abilitate, allora i gestori di password Android sono vulnerabili all'attacco.

Come funziona l’attacco AutoSpill su Android

Il problema dell'attacco AutoSpill deriva dall'incapacità di Android di imporre o definire chiaramente la responsabilità per la gestione sicura dei dati compilati automaticamente. Ciò  può comportare la loro perdita o l'acquisizione da parte dell'app host. In uno scenario di attacco, un'app non autorizzata che fornisce un modulo di accesso potrebbe acquisire le credenziali dell'utente senza lasciare alcuna indicazione della compromissione. I ricercatori hanno testato AutoSpill rispetto a una selezione di gestori di password su Android 10, 11 e 12 e hanno scoperto che 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 e Keepass2Android 1.09c-r0 sono suscettibili ad attacchi dovuti all'utilizzo del framework di compilazione automatica di Android. Google Smart Lock 13.30.8.26 e DashLane 6.2221.3 hanno seguito un approccio tecnico diverso per il processo di riempimento automatico. Non trasmettevano dati sensibili all'app host a meno che non venisse utilizzata l'iniezione JavaScript.

I ricercatori hanno divulgato le loro scoperte ai fornitori di software interessati e al team di sicurezza di Android. Essi hanno poi condiviso le loro proposte per risolvere il problema. Sebbene il report su AutoSpill sia stato riconosciuto come valido da, ad oggi, non sono stati condivisi dettagli sui piani per risolvere questo problema.