Notebookcheck Logo

Luka AutoSpill w menedżerach haseł Android ujawnia dane logowania

Nowa luka w zabezpieczeniach naraża aplikacje do zarządzania hasłami pod adresem Android (Zdjęcie: Dan Nelson/Unsplash).
Nowa luka w zabezpieczeniach naraża aplikacje do zarządzania hasłami pod adresem Android (Zdjęcie: Dan Nelson/Unsplash).
Wprowadzanie haseł za pomocą funkcji autouzupełniania w menedżerach haseł ma lukę w zabezpieczeniach na urządzeniach Android. Złośliwe aplikacje mogą wykorzystywać moduł WebView do szpiegowania wprowadzanych danych logowania.
Android Security Software

Na konferencji bezpieczeństwa Black Hat Europe 2023 konferencji poświęconej bezpieczeństwu, badacze z indyjskiego Institute of Information Technology zaprezentowali nową lukę w zabezpieczeniach o nazwie "AutoSpill". Ze względu na lukę w module Android WebView, który jest oparty na przeglądarce Chrome i służy do wprowadzania haseł w aplikacjach, złośliwe aplikacje mogą teoretycznie uzyskać niezauważony dostęp do danych z menedżera haseł.

Jeśli menedżer haseł automatycznie wprowadza dane dostępu za pomocą autouzupełniania, dane logowania mogą zostać wstawione do pól danych aplikacji bazowej w WebView zamiast na stronie internetowej. W takim przypadku sama aplikacja może po prostu odczytać dane logowania, które w rzeczywistości powinny być po prostu wstawione do strony logowania w WebView.

Oznacza to, że phishing nie jest tutaj konieczny, tj. wyświetlanie fałszywej strony internetowej z polami nazwy użytkownika i hasła, ale raczej wyświetlana jest prawdziwa strona logowania do usługi internetowej. Luka w zabezpieczeniach została przetestowana z menedżerami haseł przy użyciu Android własnego Google Smart Lock, a także aplikacji innych firm 1Password, Dashlane, Enpass, LastPass, Keepass2Android i Keeper.

Według badaczy z , luka "AutoSpill" występuje w Android w wersjach 10, 11 i 12 i może zostać wykorzystana nawet przy wyłączonym JavaScript we wszystkich menedżerach haseł (z wyjątkiem Google Smart Lock i Dashlane). Jeśli JavaScript jest włączony, luka w zabezpieczeniach dotyczy wszystkich wyżej wymienionych menedżerów haseł.

Źródło(a)

Please share our article, every link counts!
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2023 12 > Luka AutoSpill w menedżerach haseł Android ujawnia dane logowania
Alexander Pensler, 2023-12-12 (Update: 2023-12-12)