Una nuova minaccia di sicurezza informatica sta preoccupando milioni di utenti Android in tutto il mondo. Si chiama AutoSpill e permette di recuperare automaticamente dati sensibili protetti dai password manager.
AutoSpill in questo momento storico è tanto pericoloso quanto sconosciuto. Basti considerare che non ci sono certezze particolari né sul suo funzionamento né tanto meno sulla falla che sfrutta per accedere a informazioni private.
La speranza dunque è che le parti coinvolte indaghino al più presto sul suo funzionamento e sui presupposti che gli permettono di agire, in modo da poter sviluppare tutti i correttivi del caso.
Cos’è AutoSpill e come funziona
AutoSpill viene presentato come una tecnica di attacco hacker. Ma in effetti andrebbe descritto come una serie di comportamenti insicuri legati al sistema operativo mobile Android. E più precisamente al suo gestore delle password.
Il password manager è un software pensato per proteggere le credenziali di accesso degli utenti. Da una parte tramite la loro archiviazione, dall’altra attraverso l’utilizzo della crittografia.
AutoSpill è un’app che sfrutta un bug: una falla scovata proprio nei principali gestori di password disponibili su Android. L’origine di questo malfunzionamento è però un mistero.
Referenti di Google hanno lasciato intendere che la problematica dipenderebbe dalla struttura software dei singoli programmi di gestione password. Gli sviluppatori rispediscono la palla al mittente, chiamando in causa la progettazione generale di Android.
Al di là della singola responsabilità, il problema rimane: un framework di Android permette ai programmi di gestione delle password di inserire in maniera automatica le credenziali di accesso a diversi servizi.
AutoSpill sfrutta questa vulnerabilità per acquisire credenziali a prescindere dalle autorizzazioni. E senza nemmeno avere bisogno di ricorrere a un’iniezione di JavaScript.
Come difendersi da AutoSpill
L’aspetto più preoccupante della minaccia AutoSpill è che, ad oggi, non esistono rimedi. E proprio in tal senso sarà fondamentale capire precisamente la natura del problema.
Prima di pensare a soluzioni di sicurezza informatica è necessario comprendere quali siano le ragioni della falla descritta nei capoversi precedenti: una vulnerabilità che coinvolge diversi software nel momento in cui devono interfacciarsi con il framework di compilazione automatica Android.
In teoria diversi password manager sono pensati per trasmettere dati sensibili soltanto qualora si verifichi un’iniezione JavaScript. Ma all’atto pratico con AutoSpill è possibile acquisire informazioni private senza avere bisogno della programmazione.
Gli utenti Android sono dunque invitati a prestare massima attenzione ai loro password manager. Anche perché diversi sviluppatori stanno rilasciando patch e correttivi proprio in queste settimane.
Allo stesso tempo è consigliabile rimanere aggiornati anche sul fronte di Google. Anche perché, ad oggi, il colosso di Mountain View non ha ancora diffuso avvisi dedicati ad AutoSpill.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web