[ad_1]
HYDERABAD: Sei uno di quelli che si affida ai gestori di password (PM) per creare e ricordare le password? Allora attenzione, soprattutto se utilizzi i PM sui tuoi dispositivi mobili.
Un team di ricercatori di Istituto indiano di tecnologia dell’informazione a Hyderabad (IIITH) ha riscontrato una grave vulnerabilità nella funzione di riempimento automatico delle app basate su Android poiché perde accidentalmente credenziali di accesso alle app che ospitano le pagine web, esponendo l’utente a potenziali attacchi dannosi.
I ricercatori, guidati dal Prof. Ankit Gangwal del IIITH e dagli studenti MTech Shubham Singh e Abhijeet Srivastava, che hanno ribattezzato questa falla come AutoSpill, hanno scoperto che quando si tenta di accedere a un’app su un sistema operativo Android (OS), il sistema operativo stesso genera un richiesta di compilazione automatica al PM fungendo da intermediario tra le app.
“Ogni volta che un’app carica una pagina di accesso in WebView e da quella WebView viene generata una richiesta di compilazione automatica, i PM e il sistema operativo mobile rimangono disorientati riguardo alla pagina di destinazione per l’inserimento delle credenziali di accesso. Sebbene il comportamento previsto sia quello di popolare la pagina di accesso in WebView, l’app che carica WebView potrebbe accedere alle informazioni sensibili”, ha affermato il prof. Gangwal.
I ricercatori dell’IIITH hanno affermato che la fuga di credenziali sui dispositivi mobili avviene perché i PM sui moderni sistemi operativi mobili funzionano in modo diverso rispetto ai computer. Attualmente si stima che il 92,3% degli utenti Internet acceda a Internet tramite dispositivi mobili, aumentando la vulnerabilità di coloro che utilizzano i PM.
Citando un esempio, il prof. Gangwal ha detto: “Supponiamo che tu stia provando ad accedere alla tua app musicale preferita sul tuo dispositivo mobile e utilizzi l’opzione ‘accedi tramite Google o Facebook’, l’app musicale aprirà Google o Facebook”. pagina di accesso al suo interno tramite WebView. Quando viene richiesto il PM per compilare automaticamente le credenziali, idealmente dovrebbe compilare automaticamente solo la pagina Google o Facebook che è stata caricata. Ma abbiamo scoperto che l’operazione di riempimento automatico potrebbe esporre accidentalmente le credenziali all’app musicale (app base).”
Ha detto che questa fuga di notizie potrebbe avere ramificazioni “enormi” se l’app di base è dannosa. “Anche senza phishing, qualsiasi app dannosa che ti chiede di accedere tramite un altro sito, come Google o Facebook, può ottenere automaticamente l’accesso a informazioni sensibili”, ha spiegato.
Il loro articolo “AutoSpill: Credential Leakage from Mobile Password Managers” ha già vinto il premio per il miglior articolo alla conferenza ACM sulla sicurezza e privacy dei dati e delle applicazioni (CODASPY) 2023 e il trio presenterà ora i risultati al prestigioso evento sulla sicurezza delle informazioni BlackHat Europa 2023 a dicembre.
Il team dell’IIITH ha inoltre testato l’attacco AutoSpill nel mondo reale utilizzando alcuni PM di alto livello su tre tipi di dispositivi con versioni recenti di Android, per poi scoprire che la maggior parte dei PM era suscettibile alla fuga di credenziali anche con l’attacco AutoSpill JavaScript iniezione disabilitata.
Quando l’iniezione JavaScript è stata abilitata, tutti i PM nell’esperimento erano vulnerabili a un attacco AutoSpill.
Il team ha anche cercato di indagare sulle ragioni alla base dell’AutoSpill esaminando l’elaborazione dei dati e lo scambio di informazioni tra un PM e un sistema Android e ha scoperto che poiché entrambi, Android e PM, gestiscono una richiesta di compilazione automatica con obiettivi leggermente diversi come sicurezza e usabilità, essi alla fine diventano incompatibili dal punto di vista della quantità di informazioni che fluiscono tra loro.
Il team ha anche portato queste vulnerabilità all’attenzione di Google e dei gestori di password, che hanno riconosciuto la violazione della sicurezza, ha affermato il professor Gangwal, sottolineando che per eliminare la vulnerabilità è necessario uno stretto coordinamento tra il PM e il sistema operativo.
Il team sta ora esaminando la possibilità di un attacco AutoSpill inverso in cui è possibile estrarre credenziali importanti dall’app di hosting alla pagina Web ospitata.
“Se stai compilando automaticamente un’app di social media sul tuo telefono, potrebbe esserci una pagina web dannosa nascosta in background, ad esempio un banner pubblicitario che potrebbe estrarre le tue informazioni sensibili su se stesso”, ha spiegato.
Un team di ricercatori di Istituto indiano di tecnologia dell’informazione a Hyderabad (IIITH) ha riscontrato una grave vulnerabilità nella funzione di riempimento automatico delle app basate su Android poiché perde accidentalmente credenziali di accesso alle app che ospitano le pagine web, esponendo l’utente a potenziali attacchi dannosi.
I ricercatori, guidati dal Prof. Ankit Gangwal del IIITH e dagli studenti MTech Shubham Singh e Abhijeet Srivastava, che hanno ribattezzato questa falla come AutoSpill, hanno scoperto che quando si tenta di accedere a un’app su un sistema operativo Android (OS), il sistema operativo stesso genera un richiesta di compilazione automatica al PM fungendo da intermediario tra le app.
“Ogni volta che un’app carica una pagina di accesso in WebView e da quella WebView viene generata una richiesta di compilazione automatica, i PM e il sistema operativo mobile rimangono disorientati riguardo alla pagina di destinazione per l’inserimento delle credenziali di accesso. Sebbene il comportamento previsto sia quello di popolare la pagina di accesso in WebView, l’app che carica WebView potrebbe accedere alle informazioni sensibili”, ha affermato il prof. Gangwal.
I ricercatori dell’IIITH hanno affermato che la fuga di credenziali sui dispositivi mobili avviene perché i PM sui moderni sistemi operativi mobili funzionano in modo diverso rispetto ai computer. Attualmente si stima che il 92,3% degli utenti Internet acceda a Internet tramite dispositivi mobili, aumentando la vulnerabilità di coloro che utilizzano i PM.
Citando un esempio, il prof. Gangwal ha detto: “Supponiamo che tu stia provando ad accedere alla tua app musicale preferita sul tuo dispositivo mobile e utilizzi l’opzione ‘accedi tramite Google o Facebook’, l’app musicale aprirà Google o Facebook”. pagina di accesso al suo interno tramite WebView. Quando viene richiesto il PM per compilare automaticamente le credenziali, idealmente dovrebbe compilare automaticamente solo la pagina Google o Facebook che è stata caricata. Ma abbiamo scoperto che l’operazione di riempimento automatico potrebbe esporre accidentalmente le credenziali all’app musicale (app base).”
Ha detto che questa fuga di notizie potrebbe avere ramificazioni “enormi” se l’app di base è dannosa. “Anche senza phishing, qualsiasi app dannosa che ti chiede di accedere tramite un altro sito, come Google o Facebook, può ottenere automaticamente l’accesso a informazioni sensibili”, ha spiegato.
Il loro articolo “AutoSpill: Credential Leakage from Mobile Password Managers” ha già vinto il premio per il miglior articolo alla conferenza ACM sulla sicurezza e privacy dei dati e delle applicazioni (CODASPY) 2023 e il trio presenterà ora i risultati al prestigioso evento sulla sicurezza delle informazioni BlackHat Europa 2023 a dicembre.
Il team dell’IIITH ha inoltre testato l’attacco AutoSpill nel mondo reale utilizzando alcuni PM di alto livello su tre tipi di dispositivi con versioni recenti di Android, per poi scoprire che la maggior parte dei PM era suscettibile alla fuga di credenziali anche con l’attacco AutoSpill JavaScript iniezione disabilitata.
Quando l’iniezione JavaScript è stata abilitata, tutti i PM nell’esperimento erano vulnerabili a un attacco AutoSpill.
Il team ha anche cercato di indagare sulle ragioni alla base dell’AutoSpill esaminando l’elaborazione dei dati e lo scambio di informazioni tra un PM e un sistema Android e ha scoperto che poiché entrambi, Android e PM, gestiscono una richiesta di compilazione automatica con obiettivi leggermente diversi come sicurezza e usabilità, essi alla fine diventano incompatibili dal punto di vista della quantità di informazioni che fluiscono tra loro.
Il team ha anche portato queste vulnerabilità all’attenzione di Google e dei gestori di password, che hanno riconosciuto la violazione della sicurezza, ha affermato il professor Gangwal, sottolineando che per eliminare la vulnerabilità è necessario uno stretto coordinamento tra il PM e il sistema operativo.
Il team sta ora esaminando la possibilità di un attacco AutoSpill inverso in cui è possibile estrarre credenziali importanti dall’app di hosting alla pagina Web ospitata.
“Se stai compilando automaticamente un’app di social media sul tuo telefono, potrebbe esserci una pagina web dannosa nascosta in background, ad esempio un banner pubblicitario che potrebbe estrarre le tue informazioni sensibili su se stesso”, ha spiegato.
[ad_2]
Source link
