Кілька популярних мобільних менеджерів паролів ненавмисно розкривають облікові дані користувачів через вразливість у функції автозаповнення програм Android.
За словами дослідників з Міжнародного інституту інформаційних технологій у Гайдарабаді, які виявили вразливість і представили своє дослідження на Black Hat Europe цього тижня, атака AutoSpill може відкрити збережені облікові дані користувачів із мобільних менеджерів паролів, обходячи безпечний механізм автозаповнення Android.
Коли програма для Android завантажує сторінку входу в WebView
«Уявімо, ви намагаєтесь увійти у свою улюблену музичну програму на телефоні та використовуєте опцію «ввійти через Google або Facebook». Застосунок відкриє сторінку входу через WebView. Коли менеджер паролів викликається для автоматичного заповнення облікових даних, в ідеалі він повинен автоматично заповнювати лише сторінку Google або Facebook, яка була завантажена. Але ми виявили, що операція автозаповнення може випадково відкрити облікові дані для базової програми».
Дослідники кажуть, що вразливість несе «значні» наслідки:
«Навіть без фішингу будь-який шкідливий застосунок, який просить вас увійти через інший сайт, наприклад Google або Facebook, може автоматично отримати доступ до конфіденційної інформації».
Дослідники протестували атаку AutoSpill за допомогою деяких із найпопулярніших менеджерів паролів, включаючи 1Password, LastPass, Keeper і Enpass, на нових і оновлених пристроях Android, та виявили, що більшість програм були вразливі до витоку облікових даних, навіть якщо ін’єкцію JavaScript
Дослідники попередили про вразливість Google і розробників менеджерів паролів. В 1Password сказали, що працюють над виправленням проблеми, а в Keeper зазначили, що знають про потенційну вразливість, але не уточнили чи вносили виправлення.
Google й Enpass поки не надали коментарів. Алекс Кокс, директор групи аналізу загроз, пом’якшення та ескалації LastPass, сказав, що вони ще до висновків дослідників додали спливаюче вікно з попередженням про загрозу.
Джерело: Bleeping Computer, TechCrunch