9 months ago
116
Ankit Gangwal dell'International Institute of Information Technology), durante la conferenza Black Hat Europe, insieme ai suoi studenti Shubham Singh e Abhijeet Srivastava, ha discusso sulla vulnerabilità "AutoSpill", che potrebbe causare la diffusione delle credenziali personali degli utenti di Android.
In particolare, i password manager per Android si basano sul componente software WebView, che permette di incorporare contenuti Web in un'applicazione mobile. Dunque, assicura un browser incorporato all'interno di un'app, permettendo agli sviluppatori di visualizzare pagine o contenuti internet direttamente nell'interfaccia dell'applicazione.
Dunque, quando un'app carica una pagina di login tramite WebView, i gestori delle password potrebbero non riconoscere la posizione corretta per l'inserimento delle informazioni di accesso in precedenza salvate dall'utente. In tal senso, Gangwal ha specificato: "Diciamo che stai cercando di accedere alla tua app musicale preferita sul tuo dispositivo mobile e usi l'opzione di "accedi tramite Google o Facebook". L'app musicale aprirà una pagina di accesso a Google o Facebook all'interno tramite WebView. Quando viene richiamato il gestore di password per compilare automaticamente le credenziali, idealmente, dovrebbe compilare automaticamente solo nella pagina Google o Facebook che è stata caricata. Ma abbiamo scoperto che l'operazione di riempimento automatico potrebbe esporre accidentalmente le credenziali all'app sottostante".
Gangwal ha poi aggiunto che i dieci principali gestori di password per Android sono risultati vulnerabili ad AutoSpill. Scoperta la vulnerabilità, quindi, hanno provveduto a contattare tutti i responsabili delle app in questione, tuttavia soltanto quelli di 1Password hanno risposto garantendo un aggiornamento del software. Il rischio, comunque, è alto: difatti, applicazioni dannose potrebbero ottenere le credenziali degli utenti, evitando particolari tecniche informatiche.
English (US)