Tenere tutto salvato sui propri dispositivi Android a volte può non essere una buona scelta, specie se escono fuori vulnerabilità come AutoSpill, che permette agli hacker di entrarti dentro il sistema e rubartele.
Sembra infatti questo l’ultimo strumento in mano agli hacker per rubarti le credenziali dell’account su Android, ma per fortuna ci stanno già lavorando per impedire che in futuro possa fare altri danni.
Come AutoSpill ti ruba le credenziali Android
In una presentazione alla conferenza sulla sicurezza Black Hat Europe, i ricercatori dell’Istituto internazionale di tecnologia dell’informazione (IIIT) di Hyderabad hanno riportato i testi di alcune loro indagini sulla sicurezza nei dispositivi Android. E hanno dimostrato che la maggior parte dei gestori di password per Android sono vulnerabili all’AutoSpill, anche in assenza di JavaScript injection.
Ma cos’è Autospill? Non è altri che l’ennesima vulnerabilità riscontrata su Android, ovvero un bug non coperto a livello di sicurezza. Un punto debole, rinvenuto nel framework WebView, molto in uso nelle app android per eseguire il rendering dei contenuti web, invece di reindirizzare gli utenti al browser principale.
In molti usano appunto il framework WebView per digitare automaticamente le credenziali dell’account di un utente Apple, Facebook, Microsoft o Google. Purtroppo, con questo punto debole, gli hacker potrebbero acquisire le credenziali compilate automaticamente nell’app.
I ricercatori hanno divulgato le loro scoperte ai fornitori di software interessati e al team di sicurezza di Android e hanno condiviso le loro proposte per affrontare il problema. Il loro rapporto è stato riconosciuto valido, ma non sono stati condivisi dettagli sui piani.
Il vizio della compilazione automatica
Diciamoci la verità: tutti noi abbiamo il vizio di utilizzare la compilazione automatica delle proprie credenziali. Sapere a memoria decine di password diverse è difficile, se non impossibile, e viviamo nell’illusione che le nostre password siano perfettamente protette dai gestori.
I ricercatori hanno invece notato come il problema dell’AutoSpill derivi dall’incapacità di Android di imporre o definire chiaramente la responsabilità per la gestione sicura dei dati compilati automaticamente. Cioè il sistema viene ceduto a terzi, e non si sa che fine faranno i nostri dati, se verranno protetti o meno.
In uno scenario ipotetico di attacco, un’app non autorizzata che fornisce un modulo di accesso potrebbe acquisire le credenziali dell’utente senza lasciare alcuna indicazione della compromissione.
Per fortuna al momento hanno trovato una correzione per la compilazione automatica ed è attualmente in fase di elaborazione.
Inoltre vogliamo ricordare, seguendo quanto dichiarato da un portavoce di Google per Bleeping Computer, che se si utilizza il Gestore delle password di Google per la compilazione automatica su Android, gli utenti riceveranno un alert se stanno inserendo una password per un dominio che secondo Google potrebbe non essere di proprietà dell’app di hosting.
Se volete maggiori dettagli sulla vulnerabilità AutoSpill vi consigliamo la lettura questo documento, che contiene le diapositive della presentazione di BlackHat.
