Un certo numero di popolari gestori di password mobili stanno inavvertitamente diffondendo le credenziali degli utenti a causa di una vulnerabilità nella funzionalità di riempimento automatico delle app Android.
La criticità denominata “AutoSpill” può esporre le password degli utenti salvate dai gestori eludendo il meccanismo di riempimento automatico sicuro di Android.
Emerge una criticità di sicurezza per i più diffusi gestori di password mobili
I ricercatori universitari dell”International Institute of Information Technology, Hyderabad, che hanno presentato la loro ricerca al Black Hat Europe questa settimana, hanno scoperto che quando un’app Android carica una pagina di accesso in WebView, i gestori di password possono esporre le credenziali dell’utente all’app sottostante.
Questo scenario può verificarsi ad esempio quando si tenta di accedere alla propria app musicale preferita sul proprio dispositivo mobile utilizzando l’opzione per accedere tramite Google o Facebook.
Quando il gestore delle password viene richiamato per compilare automaticamente le credenziali, idealmente, dovrebbe compilarle solo nella pagina Google o Facebook che è stata caricata, ma i ricercatori hanno scoperto che l’operazione di riempimento automatico potrebbe esporre accidentalmente le credenziali all’app di base.
I più diffusi gestori di password come Enpass, 1Password, LastPass e Keeper sono stati testati per la vulnerabilità AutoSpill, mostrando tutti segni di potenziale perdita di credenziali.
I ricercatori hanno già avvisato Google e i gestori di password interessati della vulnerabilità e alcune aziende stanno cercando soluzioni per risolvere il problema, inoltre il team di studenti ricercatori sta attualmente esaminando se la vulnerabilità può essere replicata su iOS.
Potrebbe interessarti: Passkey offre maggiore supporto per le app Android grazie a una nuova API