I password manager svolgono un ruolo essenziale nell’alzare il livello di sicurezza mantenendo allo stesso tempo massima la semplicità d’uso. Possono archiviare in modo sicuro numerosi account e le relative password, con la comodità di compilare automaticamente i dettagli quando si accede a un nuovo servizio. Nonostante le misure di sicurezza messe in atto da Google e dai gestori di password, la natura in evoluzione della sicurezza mobile fa sì che nuove vulnerabilità continuino a emergere.
Autospill mette a rischio la compilazione automatica dei gestori di password
I ricercatori dell’International Institute of Information Technology (IIIT) di Hyderabad, in India, hanno scoperto un nuovo problema con alcuni password manager su Android, in cui app dannose possono rubare o catturare le credenziali dell’utente in WebView, in particolare quando il gestore di password tenta di compilare automaticamente l’accesso credenziali.
Denominata “AutoSpill” (giocando sul nome inglese Autofill), questa vulnerabilità è stata scoperta congiuntamente da Ankit Gangwal, Shubham Singh e Abhijeet Srivastava, i quali sono già entrati in contatto con i creatori delle app di gestione delle password su cui hanno testato questa vulnerabilità: 1Password, LastPass, Keeper ed Enpass., così come Google. Hanno presentato i loro risultati in dettaglio al BlackHat Europe 2023 recentemente concluso, un noto forum annuale sulla sicurezza informatica.
Secondo TechCrunch, il trio di ricercatori ha condotto i test su “dispositivi Android nuovi e aggiornati“. Tuttavia, una delle diapositive della loro presentazione rivela l’utilizzo di un Poco F1 con Android 10 e patch di sicurezza di dicembre 2020, del Samsung Galaxy A52 (Android 12, patch di aprile 2022) e del Galaxy Tab S6 Lite (Android 11, patch di gennaio patch 2022). Poiché non sono stati utilizzati telefoni Android 13 o Android 14 per testare questa vulnerabilità, non possiamo escludere che Google ne sia già a conoscenza o forse lo abbia addirittura risolto con le versioni più recenti di Android.
WebView su Android apre una pagina Web all’interno dell’app senza passare al browser mobile principale. Viene generalmente utilizzato durante gli accessi in-app e altri scenari per rendere le cose un po’ più agevoli.
La maggior parte degli utenti ha abbastanza familiarità con le opzioni “Accedi con Google” o “Accedi con Facebook” che appaiono quando accedi a un servizio all’interno dell’app (molto comodi ma un incubo per la privacy). I gestori di password sono progettati per recuperare e compilare automaticamente i dettagli di accesso come mezzo per risparmiare tempo, ed è qui che entra in gioco la vulnerabilità AutoSpill, secondo i ricercatori.
In una conversazione con TechCrunch i ricercatori hanno affermato che i gestori di password possono essere “disorientati” su dove dovrebbero andare i dati di accesso e quindi rivelare invece i dati sensibili all'”app base”.
“Quando il gestore delle password viene richiamato per compilare automaticamente le credenziali, idealmente, dovrebbe farlo solo nella pagina Google o Facebook che è stata caricata. Ma abbiamo scoperto che l’operazione di riempimento automatico potrebbe esporre accidentalmente le credenziali all’app di base“, ha detto il ricercatore Gangwal.
Come si stanno comportando i password manager di fronte a questa scoperta
Intervenendo sulla questione, i portavoce di BitWarden hanno indicato che:
Bitwarden non è stato elencato in questa ricerca e i ricercatori non hanno ricevuto notifica del fatto che influisca su Bitwarden. Bitwarden sta attualmente esaminando i dettagli e risolverà il problema se necessario.
Nel frattempo, 1Password ha affermato di essere a conoscenza di questa vulnerabilità e che la società è in procinto di implementare una soluzione. Il CTO di Keeper, Craig Lurey, ha affermato che il suo servizio prevede misure di salvaguardia “per proteggere gli utenti dall’inserimento automatico delle credenziali in un’applicazione non attendibile o in un sito che non è stato esplicitamente autorizzato dall’utente“.
