Новини Софт 11.12.2023 о 15:32 comment views icon

Менеджери паролів на Android «‎видають» облікові дані користувачів — через нову атаку AutoSpill

author avatar
https://itc.ua/wp-content/uploads/2022/09/Katya-96x96.jpg *** https://itc.ua/wp-content/uploads/2022/09/Katya-96x96.jpg *** https://itc.ua/wp-content/uploads/2022/09/Katya-96x96.jpg

Катерина Даньшина

Авторка новин ITC.ua

Кілька популярних мобільних менеджерів паролів ненавмисно розкривають облікові дані користувачів через вразливість у функції автозаповнення програм Android.

За словами дослідників з Міжнародного інституту інформаційних технологій у Гайдарабаді, які виявили вразливість і представили своє дослідження на Black Hat Europe цього тижня, атака AutoSpill може відкрити збережені облікові дані користувачів із мобільних менеджерів паролів, обходячи безпечний механізм автозаповнення Android.

Менеджери паролів на Android «‎видають» облікові дані користувачів — через нову атаку AutoSpill

Коли програма для Android завантажує сторінку входу в WebViewМенеджери паролів на Android «‎видають» облікові дані користувачів — через нову атаку AutoSpillМенеджери паролів на Android «‎видають» облікові дані користувачів — через нову атаку AutoSpillAndroid WebView – це попередньо встановлений системний компонент від Google, завдяки якому додатки для Android можуть показувати веб-контент., менеджери паролів можуть «дезорієнтуватися» щодо того, куди вони повинні націлити інформацію для входу, і натомість розкривати облікові дані у власних полях базового додатка. Це пояснюється тим, що WebView дозволяє розробникам відображати вебвміст у програмі, не запускаючи веббраузер, і генерує запит автозаповнення.

«Уявімо, ви намагаєтесь увійти у свою улюблену музичну програму на телефоні та використовуєте опцію «ввійти через Google або Facebook». Застосунок відкриє сторінку входу через WebView. Коли менеджер паролів викликається для автоматичного заповнення облікових даних, в ідеалі він повинен автоматично заповнювати лише сторінку Google або Facebook, яка була завантажена. Але ми виявили, що операція автозаповнення може випадково відкрити облікові дані для базової програми».

Дослідники кажуть, що вразливість несе «‎значні» наслідки:

«Навіть без фішингу будь-який шкідливий застосунок, який просить вас увійти через інший сайт, наприклад Google або Facebook, може автоматично отримати доступ до конфіденційної інформації».

Дослідники протестували атаку AutoSpill за допомогою деяких із найпопулярніших менеджерів паролів, включаючи 1Password, LastPass, Keeper і Enpass, на нових і оновлених пристроях Android, та виявили, що більшість програм були вразливі до витоку облікових даних, навіть якщо ін’єкцію JavaScriptМенеджери паролів на Android «‎видають» облікові дані користувачів — через нову атаку AutoSpillМенеджери паролів на Android «‎видають» облікові дані користувачів — через нову атаку AutoSpillJavaScript-ін'єкція – це спосіб вставлення коду на веб-сторінку для зміни значень певних атрибутів. було вимкнено.

Курс UX UI для геймдеву.
Зрозумієш, як працює людський мозок, і впровадиш Design thinking у свою роботу — від ресерчу до прототипу й тестування. Забереш головні фішки Figma та Adobe Photoshop для дизайну ігор.
Приєднатися

Дослідники попередили про вразливість Google і розробників менеджерів паролів. В 1Password сказали, що працюють над виправленням проблеми, а в Keeper зазначили, що знають про потенційну вразливість, але не уточнили чи вносили виправлення.

Google й Enpass поки не надали коментарів. Алекс Кокс, директор групи аналізу загроз, пом’якшення та ескалації LastPass, сказав, що вони ще до висновків дослідників додали спливаюче вікно з попередженням про загрозу.

Джерело: Bleeping Computer, TechCrunch

Триває конкурс авторів ІТС. Напиши статтю про розвиток ігор, геймінг та ігрові девайси та вигравай професійне ігрове кермо Logitech G923 Racing Wheel, або одну з низькопрофільних ігрових клавіатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: