Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Менеджери паролів на Android можуть розкривати облікові дані користувача

Кіра Іванова
Кіра Іванова Редакторка новин The Page/SPEKA
7 грудня 2023 4 хвилин читання

Популярні мобільні менеджери паролів для Android можуть видавати облікові дані користувача через вразливість у функції автозаповнення, повідомляє TechCrunch.

Про це йдеться у дослідженні університету IIIT Hyderabad. За їхньою інформацією, уразливість під назвою AutoSpill може відкрити збережені облікові дані користувачів із мобільних менеджерів паролів, обходячи безпечний механізм автозаповнення Android.

Коли програма для Android завантажує сторінку входу в WebView, менеджери паролів можуть сплутати, куди саме треба вставити інформацію для входу користувача, і надати облікові дані базовій програмі. 

Причина — WebView, передвстановлений механізм від Google, дозволяє розробникам відображати вебвміст у програмі, не запускаючи веббраузер, щоб згенерувати запит автозаповнення.

Як працює вразливість AutoSpill у менеджерах паролів під Android

Менеджер паролів в ідеалі має автоматично заповнити лише сторінку Google або Facebook, яка була завантажена. Проте дослідники виявили, що операція автозаповнення може випадково відкрити облікові дані для базової програми.

Припустімо, ви намагаєтесь увійти у свій улюблений музичний застосунок на своєму мобільному пристрої та використовуєте опцію «Ввійти через Google або Facebook». Музичний застосунок відкриє сторінку входу в Google або Facebook через WebView.
Анкіт Гангвал, один із дослідників

Наслідки такої вразливості, особливо якщо базова програма є зловмисною, можуть бути невиправними. Навіть без фішингу будь-який шкідливий застосунок, який просить вас увійти через інший сайт, наприклад Google або Facebook, може автоматично отримати доступ до конфіденційної інформації.

Які менеджери паролів можуть бути вразливими

Дослідники протестували декілька менеджерів паролів на нових і оновлених пристроях Android. AutoSpill спрацював на:

Вони виявили, що більшість застосунків були вразливі до витоку облікових даних, навіть якщо впровадження JavaScript вимкнено. А з увімкненим JavaScript взагалі усі менеджери паролів були чутливими до вразливості AutoSpill.

Як на вразливість відреагували розробники менеджерів паролів

Головний технічний директор 1Password Педро Канахуаті заявив, що компанія вже працює над виправленням проблеми AutoSpill. 

«Функція автозаповнення 1Password була розроблена таким чином, щоб вимагати від користувача виконання чітких дій. Оновлення забезпечить додатковий захист, запобігаючи заповненню нативних полів обліковими даними, які призначені лише для Android WebView»
головний технічний директор 1Password Педро Канахуаті

Головний технічний директор Keeper Крейг Люрі також знає про потенційну вразливість, але не зазначив, чи будуть виправлення. 

«Ми запросили відео у дослідника, щоб продемонструвати повідомлену проблему. Грунтуючись на нашому аналізі, ми визначили, що дослідник спочатку встановив шкідливу програму, а потім прийняв підказку Keeper примусово пов’язати шкідливу програму із записом пароля Keeper»
головний технічний директор Keeper Крейг Люрі

У Keeper вважають, що це «запобіжні заходи, щоб захистити користувачів від автоматичного заповнення облікових даних у ненадійній програмі або на сайті, який не був явно авторизований користувачем», та рекомендують звернутись до Google, «оскільки він стосується конкретно платформи Android».

Менеджер паролів LastPass вже додав до продукту випливне попередження, коли програма виявляє спробу використати експлойт, заявив Алекс Кокс, представник LastPass. 

Google і Enpass поки що не відреагували. 

Команда дослідників наразі вивчає, чи можна відтворити вразливість на iOS.

0
Прокоментувати
Інші матеріали

Вийшла перша попередня версія Android 15 для розробників: що нового

Богдан Камінський 17 лютого 2024 15:25

У 2023 році лише 13% покупців iPhone перейшли з Android на iOS

Артем Житкевич 15 лютого 2024 23:36

Apple додала в App Store фейковий менеджер паролів LastPass

Артем Житкевич 9 лютого 2024 20:22

Google перейменувала Bard у Gemini та випустила застосунок для Android

Богдан Камінський 8 лютого 2024 21:15

Мобільний застосунок Microsoft Xbox отримає сенсорний контролер

Артем Житкевич 26 січня 2024 23:58