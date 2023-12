By

Un recente studio condotto dai ricercatori dell'IIIT Hyderabad ha rivelato una significativa vulnerabilità nella funzionalità di riempimento automatico delle app Android. Soprannominata "AutoSpill", questa vulnerabilità può esporre involontariamente le credenziali salvate degli utenti dai gestori di password mobili bypassando il meccanismo di riempimento automatico sicuro di Android.

I ricercatori hanno scoperto che quando un'app Android carica una pagina di accesso in WebView, i gestori di password possono confondersi su dove archiviare le informazioni di accesso dell'utente, esponendo potenzialmente le proprie credenziali ai campi nativi dell'app sottostante. WebView, un motore preinstallato di Google, consente agli sviluppatori di visualizzare contenuti Web all'interno delle app e questo attiva una richiesta di compilazione automatica.

Ad esempio, immagina di accedere alla tua app musicale preferita sul tuo dispositivo mobile utilizzando l'opzione "accedi tramite Google o Facebook". L'app aprirà una pagina di accesso a Google o Facebook nella sua WebView. Tuttavia, quando il gestore delle password compila automaticamente le credenziali, potrebbe esporle accidentalmente all'app di base invece che alla pagina web prevista.

Le conseguenze di questa vulnerabilità sono significative, soprattutto se l'app di base è dannosa. Qualsiasi app dannosa che richieda agli utenti di accedere tramite un sito di terze parti, come Google o Facebook, potrebbe ottenere automaticamente l'accesso a informazioni sensibili.

I ricercatori hanno testato i più diffusi gestori di password, tra cui 1Password, LastPass, Keeper ed Enpass, su dispositivi Android aggiornati e hanno scoperto che la maggior parte delle app erano vulnerabili alla fuga di credenziali, anche con l'iniezione JavaScript disabilitata. Quando l'iniezione JavaScript era abilitata, tutti i gestori di password erano soggetti alla vulnerabilità AutoSpill.

I ricercatori hanno immediatamente avvisato Google e i gestori di password interessati della falla. Alcune aziende, come 1Password, hanno riconosciuto il problema e stanno lavorando attivamente a una soluzione per mitigare la vulnerabilità. Altri, come Keeper, hanno richiesto ulteriori prove prima di confermare l'esistenza della vulnerabilità.

Sebbene LastPass avesse già implementato una strategia di mitigazione per avvisare gli utenti di questo exploit, ha aggiornato il proprio avviso pop-up per fornire un testo più informativo.

I ricercatori dell'IIIT Hyderabad stanno continuando le loro indagini ed esplorando la possibilità che un utente malintenzionato estragga le credenziali dall'app su WebView. Stanno anche ricercando se questa vulnerabilità possa essere replicata su iOS.