AutoSpill e password manager su Android: attenzione al furto di credenziali

In occasione della recente Black Hat Europe, i ricercatori dell'International Institute of Information Technology (IIIT) di Hyderabad hanno dato dimostrazione di AutoSpill, un attacco che può sottrarre le credenziali di account su Android durante le operazioni di riempimento automatico. I ricercatori hanno condotto una serie di test dai quali hanno concluso che la maggior parte dei password manager per Android è vulnerabile a questo attacco.

In uno scenario di attacco, un'app dannosa che serve un modulo di login potrebbe catturare le credenziali dell'utente senza lasciare alcuna indicazione di compromissione. Le applicazioni Android spesso utilizzano controlli WebView quando è necessario mostrare contenuti web, come ad esempio le pagine di login all'interno dell'app, invece di reindirizzare gli utenti al browser principale. I password manager per Android fanno uso di WebView quando devono compiere operazioni di riempimento automatico delle credenziali dell'account quando un'app carica la pagina di login.

Dal momento che Android non impone, o non definisce chiaramente, la responsabilità per la gestione sicura dei dati compilati automaticamente, è in questo frangente che si possono verificare episodi di sottrazione di informazioni. I ricercatori sostengono che queste debolezze possono essere sfruttate per intercettare credenziali di account, a prescindere che si utilizzi o meno la tecnica di JavaScript Injection anche se nel primo caso tutti i gestori di password per Android risultano essere vulnerabili ad AutoSpill.

I ricercatori hanno testato AutoSpill su una selezione di gestori di password su Android 10, 11 e 12 e hanno scoperto che 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3. 1048 e Keepass2Android 1.09c-r0 sono soggetti ad attacchi poiché utilizzano il framework di compilazione automatica di Android. Al contrario, Google Smart Lock 13.30.8.26 e DashLane 6.2221.3 hanno seguito un approccio tecnico diverso per il processo di compilazione automatica e non hanno diffuso dati sensibili all'app host a meno che non venisse utilizzata JavaScript.

I ricercatori hanno condiviso quanto scoperto con gli sviluppatori dei gestori di password utilizzati nel test e con il team di sicurezza di Android, insieme alle loro proposte per affrontare il problema. Enpass e 1Password hanno riconosciuto la falla e hanno assicurato di essere al lavoro per realizzare una patch correttiva, mentre LastPass e Keeper Security hanno ridimensionato il problema, affermando che l'attacco AutoSpill richiede comunque l'installazione di un'app dannosa il che sarebbe già sintomo di un dispositivo compromesso e che comunque i loro password manager dispongono di avvertimenti per l'utente quando si usa la funzionalità di riempimento automatico su app non sicure.

Google invece chiarisce di aver già condiviso con gli sviluppatori di password manager alcune raccomandazioni per l'uso di WebView e delle API di riempimento automatico, sottolineando la necessità di distinguere tra visualizzazioni native di WebView o se il WebView caricato non sia correlato all'app in uso. La società inoltre evidenzia che quando si utilizza Google Password Manager per il riempimento automatico su Android gli utenti ricevono un avvertimento se stanno inserendo credenziali per un dominio che Google determina che potrebbe essere non di proprietà dell'app legittima.