Некоторые из самых популярных мобильных менеджеров паролей на Android имеют серьезный недостаток безопасности, который может вызвать самую серьезную проблему для пользователей: утечку их учетных данных.
Уязвимость известна как «Autospill» и касается ошибки в функции автозаполнения на устройствах Android.
Его обнаружили исследователи из Международного института информационных технологий (IIIT) в Гиперабаде, которые представили свои выводы на недавней конференции Black Hat Europe.
Проблема возникает, когда страница входа в приложение загружается в WebView, движке Google, который позволяет разработчикам отображать веб-контент в приложении, не открывая браузер. Это сбивает с толку менеджер паролей относительно того, где автоматически заполнять пароль, и вместо этого может случайно «раскрыть учетные данные для входа в базовое приложение», — сказал мне Анкит Гангвал, один из участвующих исследователей. TechCrunch.
Предполагается, что он автоматически заполняет учетные данные пользователя на странице входа в WebView, которая появляется в приложении. Гангвал предупреждает, что это представляет собой серьезную угрозу в случае вредоносных приложений, поскольку они могут использовать эту уязвимость для автоматического получения учетных данных пользователя без необходимости запуска фишинговых кампаний.
Менеджеры паролей, на которых, как утверждают исследователи, тестировали уязвимость, включают 1Password, LastPass, Keeper и Enpass — одни из самых популярных и лучших менеджеров паролей. Они также сказали, что устройства Android, которые они использовали, были новыми и обновленными.
Судя по всему, большинство вышеупомянутых приложений были уязвимы для Autospill даже при отключенной инъекции JavaScript. Однако при включении все они были подвержены ошибке.
Google и соответствующие менеджеры паролей были уведомлены об ошибке. 1Password сообщил TechCrunch, что постарается исправить ошибку, а Keeper запросил видеодемонстрацию ошибки в действии.
Увидев это, технический директор Keeper Крейг Люрей предположил, что «исследователь сначала установил вредоносное приложение, а затем принял запрос от Keeper на принудительное связывание вредоносного приложения с записью пароля Keeper».
Лурей также выступил в защиту позиции безопасности Keeper, заявив, что компания «внедрила меры безопасности для защиты пользователей от автоматического заполнения учетных данных для входа в ненадежное приложение». Он также посоветовал исследователям поделиться своими выводами с Google, поскольку проблема конкретно затрагивает платформу Android.
LastPass сообщил TechCrunch, что у него уже есть всплывающее предупреждение, предупреждающее пользователей о потенциальных опасностях автозаполнения, но в свете расследования теперь он добавит к уведомлению «более информативную формулировку». Исследователи заявили, что они также проверят уязвимость на устройствах iOS.
Первоисточник: : https://nybreaking.com/category/tech/
