AutoSpill, app Android possono rubare password usando WebView

Durante la conferenza Black Hat Europe in corso di svolgimento questa settimana, Ankit Gangwal (International Institute of Information Technology, IIIT) e i suoi studenti, Shubham Singh e Abhijeet Srivastava, hanno riferito della scoperta di una vulnerabilità chiamata “AutoSpill” che può causare la divulgazione delle credenziali personali degli utenti di Android.

I principali password manager per Android si appoggiano al componente WebView, integrato a livello di sistema operativo. WebView è un componente software che consente di incorporare contenuti Web all’interno di un’applicazione mobile. Fornisce un browser incorporato all’interno di un’app, consentendo agli sviluppatori di visualizzare pagine o contenuti Web direttamente all’interno dell’interfaccia dell’applicazione, senza la necessità di avviare un browser separato.

Cos’è l’attacco AutoSpill e come funziona

Quando un’app Android carica una pagina di login utilizzando WebView, i gestori di password possono “andare in confusione” non riconoscendo la posizione corretta per l’inserimento delle informazioni di accesso precedentemente salvate dall’utente. Questo comportamento può portare all’inserimento di dati riservati, come nomi utente e password, nei campi nativi dell’app sottostante.

“Supponiamo che proviate ad accedere alla vostra app musicale preferita attraverso il vostro dispositivo mobile e utilizziate l’opzione ‘Accedi tramite Google o Facebook‘“, ha affermato Gangwal del gruppo di ricerca. “Se viene richiamato un gestore di password per compilare automaticamente le credenziali, idealmente dovrebbe farlo solo sulle pagine Google o Facebook. Tuttavia, l’operazione di riempimento automatico effettuata dal password manager, potrebbe esporre le credenziali all’app sottostante“. E questo non dovrebbe assolutamente avvenire perché significherebbe consegnare a un soggetto terzo, non autorizzato, le password di Google, Facebook o di altre piattaforme.

10 password manager per Android vulnerabili all’attacco AutoSpill

Gangwal conferma che i dieci principali gestori di password utilizzabili sui dispositivi Android sono risultati vulnerabili ad AutoSpill. Dopo aver scoperto il problema, lui e il suo team si sono subito attivato per contattare gli sviluppatori software. Risultano? O non hanno ricevuto alcuna risposta, oppure gli sviluppatori hanno scaricato ogni responsabilità su Android.

Uno dei pochi prodotti che ha dimostrato massima collaborazione, assicurando una tempestiva risoluzione della problematica in questione, è 1Password.

Il rischio è che applicazioni malevole possono ottenere le credenziali degli utenti senza sferrare attacchi phishing o utilizzare particolari sotterfugi. Le app sviluppate per sottrarre le credenziali personali degli utenti, possono addirittura restare per mesi e mesi sul Play Store, essendo molto difficile far emergere il loro comportamento dannoso. E, in questo modo, è elevata la probabilità di bersagliare un ampio numero di ignari utenti.

Gli autori della scoperta osservano che i password manager potrebbero mitigare i rischi di attacco semplicemente associando il campo per l’inserimento delle credenziali (username e password) al singolo nome a dominio cui tali dati si riferiscono.

Gangwal, tuttavia, suggerisce che la sostituzione delle password in favore delle passkey, basate sulle specifiche della FIDO Alliance e sullo standard WebAuthn del W3C, potrebbe essere la soluzione definitiva. Le passkey, infatti, presuppongono un consenso esplicito per ogni applicazione o servizio online che ne fa uso.

Credit immagine in apertura: iStock.com/Fabio Principe