Un attacco sofisticato chiamato AutoSpill mette a rischio le informazioni degli utenti memorizzate nei gestori di password su Android, sollevando preoccupazioni sulla sicurezza dei dati personali.
Gli hacker, piuttosto che rubare direttamente denaro dai conti bancari o dalle criptovalute, possono prendere di mira i login e le password che utilizzate per accedere a vari servizi online. Questo metodo consente loro di entrare in questi servizi con meno tracce, mettendo a rischio la sicurezza personale degli utenti.
Per proteggersi, molti hanno preso l’abitudine di utilizzare un gestore di password, dove le password sono generate casualmente e conservate in modo sicuro. Tuttavia, nonostante le misure di sicurezza, questi programmi non sono infallibili. Un esempio eclatante è LastPass, che ha subito due gravi attacchi informatici, con un furto equivalente a 4,2 milioni di euro.
Recentemente, i ricercatori dell’International Institute of Information Technology hanno scoperto un nuovo tipo di attacco chiamato AutoSpill, che colpisce proprio i gestori di password su Android. Questo attacco si verifica quando l’applicazione di gestione password compila automaticamente i dati di accesso in un ambiente potenzialmente insicuro.
Per comprendere la portata di questo attacco, è importante sapere che la maggior parte delle app Android utilizza WebView per visualizzare contenuti web. Questo strumento consente di visualizzare la pagina di accesso a un servizio direttamente nell’applicazione. Tuttavia, proprio qui risiede una vulnerabilità: i gestori di password Android utilizzano WebView per compilare automaticamente i login, e questa pratica può esporre gli utenti a rischi.
AutoSpill sfrutta una lacuna nella definizione di responsabilità di sicurezza dei dati in transito durante la compilazione automatica su Android. In caso di attacco, una falsa applicazione che visualizza una pagina di login potrebbe rubare le informazioni senza che l’utente se ne accorga.
Durante i test, i team hanno esaminato vari gestori di password popolari come Google Smart Lock, Dashlane, 1Password, LastPass, Enpass, Keepass2Android e Keeper. Interessante notare che solo Google Smart Lock e Dashlane non sono vulnerabili ad AutoSpill senza l’iniezione di Javascript. In presenza di questa iniezione, però, tutti i gestori di password risultano vulnerabili.
I portavoce di 1Password, LastPass, Keeper Security e Google hanno dichiarato che stanno lavorando a una patch o che hanno già implementato misure di sicurezza per contrastare questo tipo di attacco.