Credite imagine: Bryce Durbin/TechCrunch
O serie de manageri populari de parole mobile scurg neintenționat acreditările utilizatorilor din cauza unei vulnerabilități în funcția de completare automată a aplicațiilor Android.
Vulnerabilitatea, denumită „AutoSpill”, ar putea expune acreditările salvate ale utilizatorilor de la managerii de parole mobile prin eludarea mecanismului securizat de completare automată a Android, potrivit cercetătorilor universitari de la IIIT Hyderabad, care au descoperit vulnerabilitatea și și-au prezentat cercetările în Black Hat Europe săptămâna aceasta.
Cercetătorii Ankit Gangwal, Shubham Singh și Abhijit Srivastava au descoperit că atunci când o aplicație Android încarcă o pagină de conectare într-un WebView, managerii de parole pot deveni „confuzi” cu privire la locul în care ar trebui să vizeze informațiile de conectare ale unui utilizator și, în schimb, să-și afișeze acreditările. Pentru aplicația de bază date. Au spus câmpurile originale. Acest lucru se datorează faptului că WebView, motorul preinstalat de la Google, permite dezvoltatorilor să vizualizeze conținutul web în cadrul aplicației fără a lansa browserul web și este generată o solicitare de completare automată.
„Să presupunem că încercați să vă conectați la aplicația de muzică preferată de pe dispozitivul dvs. mobil și că utilizați opțiunea „Conectați-vă cu Google sau Facebook”. Aplicația de muzică va deschide o pagină de conectare Google sau Facebook în interiorul ei printr-un WebView ”, a explicat Gangwal pentru TechCrunch înaintea prezentării private. La Black Hat miercuri.
„Când un manager de parole este chemat să completeze automat acreditările, cel mai bine este să completați automat doar pagina încărcată de Google sau Facebook. Dar am descoperit că procesul de completare automată poate expune acreditările aplicației de bază în eroare.
Gangwal subliniază că ramificațiile acestei vulnerabilități, în special într-un scenariu în care aplicația de bază este rău intenționată, sunt semnificative. „Chiar și fără phishing, orice aplicație rău intenționată care vă cere să vă conectați prin alt site, cum ar fi Google sau Facebook, poate accesa automat informații sensibile”, a adăugat el.
Cercetătorii au testat vulnerabilitatea AutoSpill folosind unele dintre cele mai populare manageri de parole, inclusiv 1Password, LastPass, Keeper și Enpass, pe dispozitive Android noi și actualizate. Ei au descoperit că majoritatea aplicațiilor erau vulnerabile la scurgeri de acreditări, chiar și cu injecția JavaScript dezactivată. Când injectarea JavaScript a fost activată, toți managerii de parole erau vulnerabili la vulnerabilitatea lor AutoSpill.
Gangwal spune că a alertat Google și a afectat managerii de parole cu privire la defecțiune.
Pedro Canahuate, director de tehnologie la 1Password, a declarat pentru TechCrunch că compania a identificat și lucrează la o remediere pentru AutoSpill. „Deși remedierea ne va consolida postura de securitate, funcționalitatea de completare automată a 1Password este concepută pentru a solicita utilizatorului să ia o acțiune explicită”, a spus Canahwati. „Actualizarea va oferi protecție suplimentară, împiedicând completarea câmpurilor native cu acreditări destinate numai pentru Android WebView.”
CTO Keeper, Craig Lurey, a declarat în observațiile împărtășite cu TechCrunch că compania a fost notificată cu privire la potențiala vulnerabilitate, dar nu a spus dacă a remediat. „Am solicitat un videoclip de la cercetător pentru a ilustra problema raportată. Pe baza analizei noastre, am stabilit că cercetătorul a instalat mai întâi o aplicație rău intenționată și apoi a acceptat o solicitare de la Keeper de a forța conectarea aplicației rău intenționate la istoricul parolelor lui Keeper”, a spus Lowry. .
Keeper a spus că are „măsuri de siguranță în vigoare pentru a proteja utilizatorii de completarea automată a acreditărilor într-o aplicație sau un site nede încredere care nu este autorizat în mod explicit de către utilizator” și a recomandat ca cercetătorul să-și trimită raportul la Google „deoarece se referă în mod specific la platforma Android”.
Google și Enpass nu au răspuns la întrebările lui TechCrunch. Alex Cox, directorul echipei LastPass de informații, atenuare și escaladare a amenințărilor, a declarat pentru TechCrunch că, înainte de a fi informat despre descoperirile cercetătorilor, LastPass avea deja în vigoare măsuri de atenuare printr-un avertisment pop-up în cadrul produsului când aplicația a detectat o eroare. mesaj. Încercarea de a profita de exploatare. „După analizarea rezultatelor, am adăugat un limbaj mai informativ în fereastra pop-up”, a spus Cox.
Gangwal a declarat pentru TechCrunch că cercetătorii explorează acum posibilitatea ca un atacator să exfiltreze acreditările din aplicație într-un WebView. Echipa investighează, de asemenea, dacă vulnerabilitatea ar putea fi replicată pe iOS.
„Iubitor tipic de twitter. Muzicholic pe tot parcursul vieții. Fanatic al culturii pop. Prieten al animalelor de pretutindeni. Evanghelist avid de bere. Jucător certificat.”