AutoSpill: все существующие менеджеры паролей подвержены краже данных
NewsMakerИсследование индийских специалистов выявило фундаментальную проблему в безопасности Android.
На конференции по кибербезопасности Black Hat Europe была представлена новая атака под названием «AutoSpill». Индийские исследователи из Международного института информационных технологий в Хайдарабаде обнаружили, что большинство менеджеров паролей для Android уязвимы для этой атаки, даже без внедрения JavaScript . А с внедрением JavaScript уязвимыми становятся абсолютно все менеджеры паролей для зелёной операционной системы.
AutoSpill использует уязвимость в процессе автозаполнения учётных данных в приложениях Android, где часто применяется компонент WebView для отображения веб-страниц. Менеджеры паролей, используя WebView, автоматически вводят данные пользователя на веб-страницах входа в систему. Исследователи выявили, что во время этого процесса учётные данные для автозаполнения возможно перехватить.
Тесты, проведённые на Android 10, 11 и 12, показали, что такие менеджеры паролей, как 1Password, LastPass, Enpass, Keeper и Keepass2Android, оказались больше всего подвержены данной атаке. В то время как Google Smart Lock и DashLane оказались менее уязвимыми, если, конечно, не использовать JavaScript-инъекции.
Представители вышеобозначенных продуктов, а также команда безопасности Android были уведомлены об уязвимости. Команда 1Password сообщила, что над исправлением AutoSpill уже ведётся работа. В LastPass утверждают, что специалисты уже реализовали смягчающие атаку механизмы, такие как всплывающие предупреждения при попытке злонамеренной эксплуатации. В Keeper Security подчеркнули важность качественной модерации приложений в Google Play , так как для успешной эксплуатации уязвимости нужно сначала установить на устройство вредоносное ПО.
Представитель Google подчеркнул: «Android предоставляет менеджерам паролей необходимый контекст, чтобы различать собственные представления и WebView, а также определять, не связан ли загружаемый WebView с хост-приложением» и порекомендовал разработчикам подобных проектов быть внимательными к тому, где конкретно вводятся пароли.
Выявление данной уязвимости подчёркивает важность осознанного использования функций автозаполнения и необходимость принятия мер разработчиками программного обеспечения по улучшению защиты данных. Пользователям, в свою очередь, следует проявлять бдительность, даже при установке приложений через Google Play
На конференции по кибербезопасности Black Hat Europe была представлена новая атака под названием «AutoSpill». Индийские исследователи из Международного института информационных технологий в Хайдарабаде обнаружили, что большинство менеджеров паролей для Android уязвимы для этой атаки, даже без внедрения JavaScript . А с внедрением JavaScript уязвимыми становятся абсолютно все менеджеры паролей для зелёной операционной системы.
AutoSpill использует уязвимость в процессе автозаполнения учётных данных в приложениях Android, где часто применяется компонент WebView для отображения веб-страниц. Менеджеры паролей, используя WebView, автоматически вводят данные пользователя на веб-страницах входа в систему. Исследователи выявили, что во время этого процесса учётные данные для автозаполнения возможно перехватить.
Тесты, проведённые на Android 10, 11 и 12, показали, что такие менеджеры паролей, как 1Password, LastPass, Enpass, Keeper и Keepass2Android, оказались больше всего подвержены данной атаке. В то время как Google Smart Lock и DashLane оказались менее уязвимыми, если, конечно, не использовать JavaScript-инъекции.
Представители вышеобозначенных продуктов, а также команда безопасности Android были уведомлены об уязвимости. Команда 1Password сообщила, что над исправлением AutoSpill уже ведётся работа. В LastPass утверждают, что специалисты уже реализовали смягчающие атаку механизмы, такие как всплывающие предупреждения при попытке злонамеренной эксплуатации. В Keeper Security подчеркнули важность качественной модерации приложений в Google Play , так как для успешной эксплуатации уязвимости нужно сначала установить на устройство вредоносное ПО.
Представитель Google подчеркнул: «Android предоставляет менеджерам паролей необходимый контекст, чтобы различать собственные представления и WebView, а также определять, не связан ли загружаемый WebView с хост-приложением» и порекомендовал разработчикам подобных проектов быть внимательными к тому, где конкретно вводятся пароли.
Выявление данной уязвимости подчёркивает важность осознанного использования функций автозаполнения и необходимость принятия мер разработчиками программного обеспечения по улучшению защиты данных. Пользователям, в свою очередь, следует проявлять бдительность, даже при установке приложений через Google Play