La recente scoperta di una vulnerabilità denominata AutoSpill ha destato preoccupazione tra gli utenti di Android che utilizzano password manager. La minaccia è reale, ma è importante comprendere che è più limitata e gestibile di quanto molti articoli abbiano finora riconosciuto.
Cos'è AutoSpill?
AutoSpill è stato identificato dai ricercatori Ankit Gangwal, Shubham Singh e Abhijeet Srivastava dell'International Institute of Information Technology di Hyderabad, in India. Nonostante venga spesso descritto come un attacco, è più corretto considerarlo come un insieme di comportamenti insicuri che possono verificarsi nel sistema operativo Android quando una credenziale memorizzata in un gestore di password viene automaticamente inserita in un'app installata sul dispositivo.
Tra i gestori di password interessati ci sono 1Password, LastPass, Enpass, Keepass2Android e Keeper. Altri potrebbero essere vulnerabili, ma la ricerca si è concentrata su questi sette programmi. AutoSpill è stato presentato la scorsa settimana alla conferenza di sicurezza Black Hat a Londra.
Quali sono i rischi connessi?
La minaccia principale deriva dalla possibilità che un'app di terze parti intenzionalmente sfrutti il comportamento insicuro di AutoSpill. Anche senza un'app dannosa, AutoSpill rappresenta comunque un problema, poiché viola le pratiche di sicurezza fondamentali e le assicurazioni fornite da Android Autofill, l'elemento del sistema operativo che agisce come intermediario tra i gestori di password e le app di terze parti installate sul dispositivo.
Qual è la causa principale di AutoSpill?
La causa è controversa, con Google che suggerisce che sia colpa degli sviluppatori dei gestori di password e questi ultimi che affermano che la vulnerabilità è dovuta alle decisioni progettuali di Android. I ricercatori ritengono che la vulnerabilità sia il risultato dell'interazione tra il gestore di password, l'app di terze parti e il motore di Autofill su Android.
Potete leggere il paper a riguardo se volete entrare nei dettagli tecnici.
Cosa dicono le parti coinvolte su AutoSpill?
Google afferma che WebView è utilizzato in vari modi dagli sviluppatori Android, compreso l'hosting delle pagine di accesso per i propri servizi nelle loro app. Consiglia ai gestori di password di essere sensibili a dove vengono inserite le password e di implementare le migliori pratiche per WebView.
1Password suggerisce che sarebbe positivo se Google apportasse modifiche ad Android per fornire percorsi di inserimento più specifici. Nel frattempo, sta riscrivendo la logica di inserimento per evitare che i campi nativi vengano riempiti con credenziali destinate a Android WebView.
LastPass ha già implementato una mitigazione per avvertire gli utenti contro l'auto-compilazione in app sospette. Ritiene che rimuovere o interrompere l'autofill potrebbe risolvere il problema, ma potrebbe causare altri problemi.
Esiste una patch di sicurezza disponibile?
I ricercatori ritengono che sia responsabilità sia di Google che dei produttori dei gestori di password risolvere la vulnerabilità. Mentre alcuni gestori, come 1Password e Dashlane, hanno dichiarato di aver già rilasciato correzioni, altri non hanno ancora preso provvedimenti. Google non ha indicato se cambierà il comportamento del motore di Autofill di Android.
Come proteggersi da AutoSpill?
Nonostante la vulnerabilità, è fortemente consigliato continuare a utilizzare un gestore di password, evitando pratiche meno sicure come il riutilizzo delle credenziali. La difesa più costruttiva è essere selettivi nell'installazione delle app e diffidare di quelle che richiedono password per account importanti non gestiti direttamente dagli sviluppatori del servizio che si vuole utilizzare.
Gli utenti Android dovrebbero rimanere informati seguendo le linee guida di sicurezza fornite da Google o dallo sviluppatore del proprio gestore di password. Al momento, nessuno dei due ha pubblicato avvisi specifici relativi ad AutoSpill e ai suoi effetti su casi d'uso specifici.
AutoSpill è una minaccia da prendere sul serio, ma le limitazioni nella sua portata e nei mezzi di sfruttamento la rendono meno pericolosa per la maggior parte degli utenti.