AutoSpill: Nuovo attacco ruba credenziali da gestori password Android
Ricercatori di sicurezza hanno sviluppato un nuovo attacco, denominato AutoSpill, per rubare le credenziali degli account su Android durante l’operazione di autofill.
Durante la conferenza sulla sicurezza Black Hat Europe, ricercatori dell’International Institute of Information Technology (IIIT) di Hyderabad hanno affermato che la maggior parte dei gestori password per Android è vulnerabile ad AutoSpill, anche senza iniezioni JavaScript.
Come funziona AutoSpill:
Le app Android spesso utilizzano controlli WebView per visualizzare contenuti web, come pagine di accesso all’interno dell’app, evitando di reindirizzare gli utenti al browser principale, che sarebbe meno comodo sui dispositivi con schermi ridotti.
I gestori password su Android utilizzano il framework WebView della piattaforma per digitare automaticamente le credenziali dell’utente quando un’app carica la pagina di accesso per servizi come Apple, Facebook, Microsoft o Google.
I ricercatori hanno affermato che è possibile sfruttare debolezze in questo processo per catturare le credenziali auto-riempite sull’app che le invoca, anche senza iniezione di JavaScript.
Se le iniezioni di JavaScript sono abilitate, i ricercatori affermano che tutti i gestori password su Android sono vulnerabili all’attacco AutoSpill.
Impatto e soluzioni:
I ricercatori hanno testato AutoSpill su una selezione di gestori password su Android 10, 11 e 12 e hanno scoperto che 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 e Keepass2Android 1.09c-r0 sono suscettibili agli attacchi a causa dell’utilizzo del framework di autofill di Android.
Google Smart Lock 13.30.8.26 e DashLane 6.2221.3 hanno seguito un approccio tecnico diverso per il processo di autofill. Non hanno rivelato dati sensibili all’app host a meno che non fosse utilizzata l’iniezione di JavaScript.
I ricercatori hanno comunicato i loro risultati ai fornitori di software interessati e al team di sicurezza di Android, condividendo le loro proposte per affrontare il problema. Il loro rapporto è stato riconosciuto come valido, ma non sono stati condivisi dettagli su piani di risoluzione.
Le risposte dei fornitori di software:
1Password: “La sicurezza dei dati dei nostri clienti è la nostra massima priorità. È stato identificato un fix per AutoSpill e attualmente è in fase di sviluppo. L’aggiornamento fornirà una maggiore protezione prevenendo il riempimento di campi nativi con credenziali destinate solo a WebView di Android.”
LastPass: “Abbiamo già implementato una mitigazione tramite un avviso in-app quando l’app rileva un tentativo di sfruttare l’exploit. Dopo un’analisi approfondita, abbiamo migliorato il testo dell’avviso.”
Keeper: “Abbiamo provveduto a informare il ricercatore e abbiamo consigliato di sottoporre il rapporto a Google in quanto specificamente relativo alla piattaforma Android.”
Google: “Raccomandiamo che i gestori password terzi siano attenti a dove vengono inserite le password e abbiamo delle migliori pratiche per WebView. Implementiamo protezioni lato server per i login via WebView.”
Le risposte dei fornitori evidenziano sforzi per proteggere gli utenti e risolvere la vulnerabilità AutoSpill. Tuttavia, rimane la necessità di ulteriori azioni per mitigare questa minaccia e garantire la sicurezza delle credenziali degli utenti Android.