login LOGIN
CHIUDI chiudi
Il mio profilo

mostra
Hai dimenticato la password?
Inserisci l'indirizzo email di registrazione per reimpostare la password.
Segui le istruzioni che ti abbiamo inviato per posta elettronica.

AutoSpill: cos’è e come funziona la nuova minaccia Android

Ascolta l'articolo

AutoSpill sfrutta una falla di sicurezza nei gestori di password Android per accedere alle credenziali degli utenti. Senza il bisogno di iniezioni JavaScript

AutoSpill FOTO Eak/Shutterstock

Una nuova minaccia di sicurezza informatica sta preoccupando milioni di utenti Android in tutto il mondo. Si chiama AutoSpill e permette di recuperare automaticamente dati sensibili protetti dai password manager

AutoSpill in questo momento storico è tanto pericoloso quanto sconosciuto. Basti considerare che non ci sono certezze particolari né sul suo funzionamento né tanto meno sulla falla che sfrutta per accedere a informazioni private

La speranza dunque è che le parti coinvolte indaghino al più presto sul suo funzionamento e sui presupposti che gli permettono di agire, in modo da poter sviluppare tutti i correttivi del caso. 

Cos’è AutoSpill e come funziona

AutoSpill viene presentato come una tecnica di attacco hacker. Ma in effetti andrebbe descritto come una serie di comportamenti insicuri legati al sistema operativo mobile Android. E più precisamente al suo gestore delle password. 

Il password manager è un software pensato per proteggere le credenziali di accesso degli utenti. Da una parte tramite la loro archiviazione, dall’altra attraverso l’utilizzo della crittografia.

AutoSpill è un’app che sfrutta un bug: una falla scovata proprio nei principali gestori di password disponibili su Android. L’origine di questo malfunzionamento è però un mistero.

Referenti di Google hanno lasciato intendere che la problematica dipenderebbe dalla struttura software dei singoli programmi di gestione password. Gli sviluppatori rispediscono la palla al mittente, chiamando in causa la progettazione generale di Android

Al di là della singola responsabilità, il problema rimane: un framework di Android permette ai programmi di gestione delle password di inserire in maniera automatica le credenziali di accesso a diversi servizi. 

AutoSpill sfrutta questa vulnerabilità per acquisire credenziali a prescindere dalle autorizzazioni. E senza nemmeno avere bisogno di ricorrere a un’iniezione di JavaScript. 

Come difendersi da AutoSpill

L’aspetto più preoccupante della minaccia AutoSpill è che, ad oggi, non esistono rimedi. E proprio in tal senso sarà fondamentale capire precisamente la natura del problema

Prima di pensare a soluzioni di sicurezza informatica è necessario comprendere quali siano le ragioni della falla descritta nei capoversi precedenti: una vulnerabilità che coinvolge diversi software nel momento in cui devono interfacciarsi con il framework di compilazione automatica Android

In teoria diversi password manager sono pensati per trasmettere dati sensibili soltanto qualora si verifichi un’iniezione JavaScript. Ma all’atto pratico con AutoSpill è possibile acquisire informazioni private senza avere bisogno della programmazione.

Gli utenti Android sono dunque invitati a prestare massima attenzione ai loro password manager. Anche perché diversi sviluppatori stanno rilasciando patch e correttivi proprio in queste settimane. 

Allo stesso tempo è consigliabile rimanere aggiornati anche sul fronte di Google. Anche perché, ad oggi, il colosso di Mountain View non ha ancora diffuso avvisi dedicati ad AutoSpill

Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web

A cura di Cultur-e
Prompt engineering
Immagine principale del blocco
Prompt engineering
Fda gratis svg
Come interrogare le intelligenze artificiali
Iscriviti al corso gratuito

Iscriviti
all'area personale

Per ricevere Newsletter, scaricare eBook, creare playlist vocali e accedere ai corsi della Fastweb Digital Academy a te dedicati.