La vulnerabilità di AutoSpill dei gestori di password Android espone i dati di login

Alla conferenza Black Hat Europe 2023 conferenza sulla sicurezza, i ricercatori dell'Istituto Indiano di Informatica hanno presentato una nuova vulnerabilità chiamata 'AutoSpill' hanno presentato una nuova vulnerabilità chiamata 'AutoSpill'. A causa di una lacuna nel modulo Android WebView, che si basa sul browser Chrome e viene utilizzato per inserire le password nelle app, le app dannose possono teoricamente accedere ai dati del gestore di password senza essere notate.

Se un gestore di password inserisce automaticamente i dati di accesso utilizzando l'autofill, i dati di accesso possono essere inseriti nei campi dati dell'app sottostante in WebView invece che nel sito web. In questo caso, l'app stessa può semplicemente leggere i dati di accesso, che in realtà dovrebbero essere inseriti nella pagina di accesso all'interno di WebView.

Ciò significa che in questo caso non è necessario il phishing, ossia la visualizzazione di un sito web falso con campi di nome utente e password, ma viene visualizzata la vera pagina di login di un servizio internet. La vulnerabilità di sicurezza è stata testata con i gestori di password che utilizzano Android's own Google Smart Lock, nonché le applicazioni di terze parti 1Password, Dashlane, Enpass, LastPass, Keepass2Android e Keeper.

Secondo i ricercatori di , la vulnerabilità 'AutoSpill' si verifica nelle versioni 10, 11 e 12 di Android e può essere sfruttata anche con JavaScript disattivato in tutti i password manager (ad eccezione di Google Smart Lock e Dashlane). Se JavaScript è attivato, tutti i suddetti password manager sono affetti dalla falla di sicurezza.