Non usate questi password manager: sono a rischio
LastPass, 1Password, Enpass, Keeper e Keepass2Android non sono sicuri al 100%: i ricercatori hanno scoperto una vulnerabilità grave che espone le credenziali dell'utente
Il password manager che state usando sul vostro smartphone Android per proteggere le credenziali di accesso a siti e app, potrebbero in realtà mostrare i dati da proteggere a qualche hacker. Lo hanno scoperto i ricercatori Ankit Gangwal, Shubham Singh e Abhijeet Srivastava dell’International Institute of Information Technology di Hyderabad, in India, e hanno chiamato questa vulnerabilità “AutoSpill“.
Che cos’è AutoSpill e come funziona
AutoSpill è una vulnerabilità che sfrutta un componente di Android chiamato WebView, che serve a visualizzare contenuti online all’interno di un’app, senza però aprire un vero e proprio browser.
WebView viene usato, ad esempio, per accedere ad una app tramite il profilo Google o Facebook: l’app richiama, tramite WebView, la pagina di login e, se l’autenticazione va a buon fine, riceve (sempre tramite WebView) la conferma e permette all’utente l’accesso.
Il processo passa dal password manager, che inserisce al posto dell’utente i dati (nome utente e password) necessari a fare l’accesso.
In tutto questo meccanismo, in teoria, l’app sottostante non dovrebbe riuscire a leggere i dati scambiati all’interno di WebView ma, in realtà, a causa della vulnerabilità AutoSpill è possibile “fare uscire” i dati di accesso e mostrarli direttamente all’app.
In questo modo basta che l’app sia gestita e controllata da un hacker, un cybercriminale o un malintenzionato di qualunque tipo per causare un disastro: al primo accesso fatto tramite un password manager che compila la pagina richiamata tramite WebView, infatti, l’app otterrebbe le credenziali di Google o Facebook e le potrebbe usare per accedere a qualunque altro profilo online dell’utente.
Provate a pensare a quante volte usiamo questo tipo di accesso con app quanto meno “dubbie“, come i tantissimi giochi gratuiti disponibili per Android: ognuna di queste app, a questo punto, potrebbe essere solo uno specchietto per le allodole per rubarci i dati di accesso.
Quali password manager sono coinvolti
Non tutti i password manager sono vulnerabili a causa di AutoSpill: i ricercatori hanno testato una selezione di gestori di password su Android 10, 11 e 12 e hanno scoperto che 1Password (versione 7.9.4), LastPass (versione 5.11.0.9519), Enpass (versione 6.8.2.666), Keeper (versione 16.4.3.1048) e Keepass2Android (versione 1.09c-r0) sono tutti a rischio attacco.
Questi password manager, infatti, “lasciano passare” sia username che password: alcuni contemporaneamente, altri singolarmente (ma nella pratica non cambia nulla, basta fare due autenticazioni).
Google Smart Lock (13.30.8.26) e DashLane (6.2221.3) usano un approccio tecnico diverso per il processo di riempimento automatico, che non passa da WebView nello stesso modo degli altri e, di conseguenza, non trasmettono dati sensibili all’app sottostante.
Come difendersi da AutoSpill
Premesso che l’uso di un password manager è sempre qualcosa di molto consigliato, perché permette di usare (senza impazzire) password lunghe, complesse e tutte diverse, è però importante proteggersi dalle possibili conseguenze di AutoSpill.
Nell’immediato, dunque, il consiglio più semplice da seguire è quello di cambiare password manager, scegliendone uno immune ad AutoSpill. Nel giro di poco, però, quasi certamente gli altri password manager verranno “patchati” per mettere una toppa a questa grave falla di sicurezza.
Pedro Canahuati, Chief Technology Officer di 1Password, ha dichiarato a TechCrunch che la società ha identificato una soluzione per AutoSpill e sta lavorando alla sua implementazione nell’app.
Keeper si è dichiarata informata dei fatti, ma non ha ancora annunciato l’arrivo di una correzione. Anche LastPass conosce il problema e, al momento, si limita a mostrare un avviso pop-up per avvertire gli utenti quando c’è un rischio di AutoSpill durante un’autenticazione.
