Il supporto ad API per il completamento automatico delle password è una delle funzionalità più pubblicizzate di Android 8.0 Oreo: molte applicazioni di terze parti, come LastPass, hanno già integrato le API Autofill al loro interno.
L’aggiornamento, sebbene sia un passo in avanti rispetto all’implementazione precedente del completamento automatico, che utilizzava i Servizi di Accessibilità, presenta dei problemi a livello di sicurezza. Un white paper pubblicato su GitHub da Mark Murphy (CommonsWare), infatti, mostra una falla nel sistema che, se sfruttata, potrebbe permettere all’applicazione di gestione delle password di raccogliere ben più dati rispetto a quelli per cui l’utente ha dato il consenso.
Con il nuovo sistema introdotto con Android O, un malintenzionato potrebbe inserirsi tra l’applicazione che richiede l’inserimento di dati personali e l’applicazione di Autofill per ottenere dati sensibili non previsti attraverso l’inserimento di un campo di testo invisibile, completato senza che l’utente ne sia consapevole, come potete vedere aprendo le immagini della galleria.
Google sta lavorando per risolvere il problema, ma trovare una soluzione non è semplice; probabilmente la strada che verrà intrapresa porterà ad aggiornare le applicazioni di Autofill con sistemi per evitare questo tipo di frode. In ogni caso, al momento applicazioni come 1Password, Enpass e LastPass dovrebbero essere sicure: per ora utilizzate queste app, oppure disabilitate i servizi di Autofill per non correre alcun rischio.