Alla conferenza sulla sicurezza Black Hat Europe, i ricercatori dell’International Institute of Information Technology (IIIT) di Hyderabad hanno rivelato che la maggior parte dei gestori di password Android sono vulnerabili all’attacco AutoSpill, anche in assenza di JavaScript injection.
Le app Android utilizzano spesso i controlli WebView per eseguire il rendering di contenuti Web come le pagine di accesso all'interno dell'app invece di reindirizzare gli utenti al browser principale, un'esperienza meno conveniente sui dispositivi con schermo piccolo.
I gestori di password su Android utilizzano il framework WebView della piattaforma per digitare automaticamente le credenziali dell'utente quando un'app carica la pagina di accesso di servizi come Apple, Facebook, Microsoft o Google. I ricercatori hanno spiegato che è possibile sfruttare i punti deboli di questo processo per acquisire credenziali compilate automaticamente nell'applicazione che le invoca, anche senza l'iniezione di JavaScript.
Se le iniezioni JavaScript sono abilitate, tutti i gestori di password su Android sono vulnerabili all'attacco AutoSpill. Il problema dell'AutoSpill deriva dall'incapacità di Android di imporre o definire chiaramente la responsabilità per la gestione sicura dei dati compilati automaticamente, il che può portare alla loro fuga o alla cattura da parte dell'applicazione host.
Android ha un problema molto serio, che minaccia per i telefoni
In uno scenario di attacco, un'applicazione dannosa che presenta un modulo di autenticazione potrebbe acquisire le credenziali dell'utente senza lasciare traccia della compromissione. Ulteriori dettagli tecnici sull'attacco AutoSpill sono disponibili nella presentazione dei ricercatori di Black Hat Europe.
Maggiori dettagli sull'attacco AutoSpill possono essere trovati in questo documento, che contiene le diapositive della presentazione di BlackHat. I ricercatori hanno testato AutoSpill contro una selezione di gestori di password su Android 10, 11 e 12 e hanno scoperto che 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 e Keepass2Android 1.09c-r0 sono suscettibili agli attacchi dovuti all'uso del framework di completamento automatico di Android.
Google Smart Lock 13.30.8.26 e DashLane 6.2221.3 hanno adottato un approccio tecnico diverso al processo di riempimento automatico. Non hanno trasmesso dati sensibili all'applicazione host tranne quando si utilizzava l'iniezione JavaScript.
I ricercatori hanno divulgato le loro scoperte ai fornitori di software interessati e al team di sicurezza Android, condividendo le loro proposte per affrontare il problema. Il loro rapporto è stato riconosciuto valido, ma non sono stati condivisi i dettagli dei piani di riparazione.
