Вашият мобилен мениджър на пароли може да разкрива вашите идентификационни данни

Кредити за изображения: Брайс Дърбин/TechCrunch

Редица популярни мобилни мениджъри на пароли неволно изтичат потребителски идентификационни данни поради уязвимост във функцията за автоматично попълване на приложенията за Android.

Уязвимостта, наречена „AutoSpill“, може да разкрие запазените идентификационни данни на потребителите от мениджърите на мобилни пароли чрез заобикаляне на защитения механизъм за автоматично попълване на Android, според университетски изследователи в IIIT Hyderabad, които откриха уязвимостта и представиха своето изследване в Black Hat Europe тази седмица.

Изследователите Ankit Gangwal, Shubham Singh и Abhijit Srivastava установиха, че когато приложение за Android зареди страница за вход в WebView, мениджърите на пароли могат да се „объркат“ къде трябва да насочат информацията за вход на потребителя и вместо това да покажат потребителски данни. Техните идентификационни данни са за основните данни на приложението. Казаха оригиналните полета. Това е така, защото WebView, предварително инсталираният двигател на Google, позволява на разработчиците да преглеждат уеб съдържание в приложението, без да стартират уеб браузъра, и се генерира заявка за автоматично попълване.

„Да приемем, че се опитвате да влезете в любимото си музикално приложение на мобилното си устройство и използвате опцията „Влезте с Google или Facebook“. Музикалното приложение ще отвори страница за вход в Google или Facebook в себе си чрез WebView ”, обясни Gangwal на TechCrunch преди частната презентация. В Black Hat в сряда.

„Когато се извика мениджър на пароли за автоматично попълване на идентификационни данни, най-добре е да попълните автоматично само заредената Google или Facebook страница. Но открихме, че процесът на автоматично попълване може да изложи идентификационните данни на основното приложение по погрешка.

Gangwal посочва, че разклоненията на тази уязвимост, особено в сценарий, при който основното приложение е злонамерено, са значителни. „Дори и без фишинг, всяко злонамерено приложение, което ви моли да влезете през друг сайт, като Google или Facebook, може автоматично да получи достъп до чувствителна информация“, добави той.

Изследователите тестваха уязвимостта AutoSpill, използвайки някои от най-популярните мениджъри на пароли, включително 1Password, LastPass, Keeper и Enpass, на нови и актуализирани устройства с Android. Те установиха, че повечето приложения са уязвими към изтичане на идентификационни данни, дори и при деактивирано инжектиране на JavaScript. Когато инжектирането на JavaScript беше активирано, всички мениджъри на пароли бяха уязвими към тяхната уязвимост AutoSpill.

Gangwal казва, че е предупредил Google и засегнатите мениджъри на пароли за пропуска.

Педро Канахуате, главен технологичен директор в 1Password, каза пред TechCrunch, че компанията е идентифицирала и работи върху корекция за AutoSpill. „Въпреки че корекцията допълнително ще засили нашата позиция на сигурност, функцията за автоматично попълване на 1Password е проектирана да изисква ясно действие от страна на потребителя“, каза Канахвати. „Актуализацията ще осигури допълнителна защита, като предотврати запълването на естествени полета с идентификационни данни, предназначени само за Android WebView.“

Техническият директор на Keeper Крейг Лури каза в забележки, споделени с TechCrunch, че компанията е била уведомена за потенциалната уязвимост, но не каза дали е направила някакви корекции. „Поискахме видео от изследователя, за да илюстрираме докладвания проблем. Въз основа на нашия анализ установихме, че изследователят първо е инсталирал злонамерено приложение и след това е приел подкана от Keeper да принуди да свърже злонамереното приложение с хронологията на паролите на Keeper“, каза Лоури .

Keeper каза, че има „въведени предпазни мерки за защита на потребителите от автоматично попълване на идентификационни данни в ненадеждно приложение или сайт, които не са изрично упълномощени от потребителя“, и препоръча на изследователя да изпрати доклада си на Google, „тъй като се отнася конкретно до платформата Android“.

Google и Enpass не отговориха на въпросите на TechCrunch. Алекс Кокс, директор на екипа за разузнаване, смекчаване и ескалация на заплахи на LastPass, каза пред TechCrunch, че преди да бъде уведомен за констатациите на изследователите, LastPass вече е имал мерки за смекчаване чрез изскачащо предупреждение в продукта, когато приложението открие грешка съобщение. Опитвайки се да се възползвате от експлоатацията. „След като анализирахме резултатите, добавихме по-информативен език към изскачащия прозорец“, каза Кокс.

Gangwal каза на TechCrunch, че изследователите сега проучват възможността нападател да измъкне идентификационни данни от приложението в WebView. Екипът също така проучва дали уязвимостта може да бъде възпроизведена в iOS.