I ricercatori dell’International Institute of Information Technology (IIIT) – Hyperabad hanno scoperto una grave vulnerabilità in molti popolari password manager, tra cui 1Password, LastPass e Keeper. Il bug è presenta nella funzionalità di riempimento automatico (autofill) delle app Android. I dettagli di AutoSpill sono stati svelati durante la conferenza Black Hat Europe a Londra.
Divulgazione delle credenziali
Il problema di sicurezza è dovuto all’uso di WebView, un componente di Android che permette la visualizzazione dei contenuti web nelle app, senza aprire il browser. Quando viene invocato il password manager per il riempimento automatico dei campi di login (ad esempio quelli di Google o Facebook), l’operazione espone le credenziali all’app nativa sottostante, invece di inserirle solo nella pagina WebView.
Se l’app sottostante contiene un malware, i dati di accesso vengono compromessi. In pratica avviene il furto delle credenziali, senza phishing. Alcuni password manager, tra cui 1Password, LastPass e Keeper, sono vulnerabili. Il test è stato effettuato con dispositivi Android nuovi e aggiornati.
Il CTO di 1Password ha comunicato che verrà rilasciato un fix per impedire la compilazione dei campi nativi con le credenziali indirizzate alla pagina WebView. Il CTO di Keeper ha richiesto un video dimostrativo ai ricercatori, sottolineando che il password manager protegge gli utenti contro il riempimento automatico delle credenziali in app sospette.
LastPass ha invece dichiarato che è già presente un pop-up di avviso nell’app Android e che aggiungerà maggiori informazioni sul problema. Un portavoce di Google ha evidenziato che la vulnerabilità è dovuta alla mancata implementazione dei controlli di sicurezza previsti da WebView.
Ti potrebbe interessare
8 dic 2023