La funzione di autocompletamento di Oreo potrebbe mettere a rischio le password

La nuova funzione di autocompletamento introdotta con Android Oreo è sicuramente uno strumento molto comodo per gli utenti, ma potrebbe rivelarsi un arma a doppio taglio, a causa di alcune pericolose vulnerabilità di sicurezza.

I problemi si manifestano con le app per la gestione delle password che utilizzano le nuove API Autofill per Oreo. Quando l'utente cerca di completare un campo di testo in automatico sfruttando tali app, il sistema Android si occupa di fare da intermediario tra l'app che richiede il testo da completare e il servizio di gestione password.

In condizioni normali, questo passaggio di dati da un'app all'altra non è rischioso, ma lo diventa quando sul dispositivo è presente un malware o un'app infetta. In questo caso, infatti, è possibile creare "widget invisibili" che intercettano le password o i dati importanti e, nel caso peggiore, li inviano al di fuori del dispositivo.

Fortunatamente non tutti i gestori di password sono a rischio.

Come segnalato da XDA, app come 1Password, Enpass e LastPass sono sicure, perché utilizzano sistemi di protezione che evitano il problema descritto. Per quanto riguarda altre app, però, la situazione è più confusa, dunque consigliamo di fare attenzione nell'utilizzo della funzione di autocompletamento, o di disattivarla del tutto se necessario.

Per maggiori informazioni su questa vulnerabilità dell'Autofill, potete leggere la documentazione completa disponibile su GitHub a questo indirizzo.