I ricercatori di sicurezza hanno sviluppato un attacco hacker denominato AutoSpill, che potrebbe consentire alle app dannose di rubare le credenziali degli utenti che utilizzano gestori di password Android anche piuttosto popolari.
A quanto pare l'attacco AutoSpill sfrutta una vulnerabilità nel framework di compilazione automatica di Android, che consente di digitare automaticamente le credenziali di un utente quando un'app carica la pagina di accesso a servizi come Apple, Facebook, Microsoft o Google o altre pagine web. La cosa più preoccupante è che si è scoperto che diversi gestori di password di largo utilizzo, tra cui 1Password e LastPass, sono vulnerabili ad AutoSpill. I Ricercatori lo hanno presentato durante la conferenza sulla sicurezza Black Hat Europe, dove hanno spiegato la sua modalità di funzionamento.
Come potrebbe funzionare un eventuale scenario d'attacco? Quando un utente visita un sito Web o un'app che richiede le credenziali di accesso, il suo dispositivo Android tenta prima di compilare le credenziali utilizzando il framework di compilazione automatica. Se l'utente ha installati più gestori di password, il framework di compilazione automatica inviterà l'utente a scegliere quale gestore desidera utilizzare. Una volta selezionata l'app dannosa, Autospill potrebbe esssere in grado di rubare le credenziali dell'utente e inviarle all'attaccante.
L'attacco AutoSpill può avere un impatto devastante sugli utenti, non solo per la mera questione dell'accesso alle credenziali di accesso, me per le conseguenze collaterale, ben peggiori in molti casi. Qualche esempio? Furti di identità, frodi finanziaria e altre situazioni simili.
I ricercatori hanno testato AutoSpill contro una selezione di gestori di password in specifiche versioni su Android 10, 11 e 12 e hanno scoperto che 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 e Keepass2Android 1.09c-r0 sono suscettibili di attacchi a causa dell'utilizzo del framework di compilazione automatica di Android. Google Smart Lock 13.30.8.26 e DashLane 6.2221.3 seguono un approccio tecnico diverso per il processo di compilazione automatica, tale che non vengono persi dati sensibili all'app host a meno che non sia stata utilizzata l'iniezione di JavaScript.
I ricercatori hanno divulgato le loro scoperte ai fornitori di software interessati e al team di sicurezza di Android e hanno condiviso le loro proposte per affrontare il problema. Il loro rapporto è stato riconosciuto valido, ma non sono stati condivisi dettagli sui piani di fissazione.
Nel frattempo, per evitare che software simili possano fare danni seri si possono utilizzare alcune pratiche per proteggersi. Il primo consiglio è come sempre quello di essere cauti nell'installare app da fonti sconosciute, pertanto la miglior soluzione risulta quella di affidarsi ad app store attendibili, come Google Play Store.
Un'altra buona pratica è quella di abilitare le autorizzazioni delle app con grande attenzione, concedendo l'accesso solo alle funzioni di cui hanno bisogno per avviarsi correttamente. Inoltre è necessario mantenere aggiornato il proprio dispositivo Android, poiché vengono quasi sempre inserite le patch di sicurezza più recenti, che possono aiutarci nel proteggere i nostri dispositivi dalle nuove vulnerabilità.
Uno dei consigli più importanti è quello di non utilizzare la stessa password per tutti i tuoi account, e soprattutto di sceglierne una "Forte", ossia che risulti difficile da decifrare.