فشل أمان Android: تفكيك AutoSpill يهدد مستخدمي مدير كلمات المرور

جاكرتا - يمكن لعدد من مديري كلمات المرور الشهيرين للأجهزة المتنقلة دون أن يدركوا هوية المستخدم بسبب ضعف وظيفة الشحن التلقائي لتطبيقات Android.

يمكن أن يعرض هذا الضعف ، المسمى "AutoSpill" ، معلومات تسجيل الدخول المخزنة من قبل مدير كلمات المرور عبر الهاتف المحمول من خلال خداع آلية التصفح الآلي الآمنة على Android. وجد باحثون من IIIT Hyderabad هذه الضعف وقدموا بحثهم في Black Hat Europe هذا الأسبوع.

وجد الباحثون ، Ankit Gangwal و Shubham Singh و Abhijeet Srivastava ، أنه عندما يحتوي تطبيق Android على صفحة تسجيل دخول على WebView ، يمكن أن يكون مدير كلمات المرور "مضللا" حول المكان الذي يجب أن يستهدف فيه معلومات تسجيل الدخول للمستخدمين وبدلا من ذلك يكشف عن بيانات اعتمادهم داخل المجال الأصلي للتطبيق الأساسي.

يحدث هذا لأن WebView ، وهو جهاز تم تثبيته مسبقا بواسطة Google ، يسمح للمطورين بعرض محتوى الويب داخل التطبيق دون فتح متصفح الويب ، وسيتم إجراء طلبات التصويب الذاتي.

"على سبيل المثال ، عندما تحاول تسجيل الدخول إلى تطبيق الموسيقى المفضل لديك على جهازك المحمول واستخدام خيار "دخول عبر Google أو Facebook". ستفتح تطبيقات الموسيقى صفحة تسجيل الدخول من Google أو Facebook فيها عبر WebView ، "أوضح Gangwal ل TechCrunch قبل عرضه التقديمي على Black Hat يوم الأربعاء ، 6 ديسمبر.

"عندما يتم تنشيط مدير كلمات المرور لملء بيانات الاعتماد تلقائيا ، يجب ملءها فقط إلى صفحة Google أو Facebook التي تم تحميلها. ومع ذلك، وجدنا أن عملية التصفح الذاتي يمكن أن تكشف عن بيانات الاعتماد عن طريق الخطأ لتطبيقات أساسية".

وأشار غانغوال إلى أن عواقب هذا الضعف، وخاصة في السيناريو الذي تكون فيه التطبيقات الأساسية ضارة، كبيرة جدا. "حتى بدون التصيد الاحتيالي ، يمكن لأي تطبيق ضار يطلب منك تسجيل الدخول من خلال مواقع أخرى ، مثل Google أو Facebook ، الوصول تلقائيا إلى المعلومات الحساسة" ، يوضح Gangwal.

اختبر الباحثون نقاط الضعف في AutoSpill باستخدام بعض مديري كلمات المرور الأكثر شعبية ، بما في ذلك 1Password و LastPass و Keeper و Enpass ، على أجهزة Android الجديدة والأحدث. وجدوا أن معظم التطبيقات عرضة لتسرب بيانات الاعتماد ، حتى عندما تم تعطيل حقن جرافيك المرجح. عند تمكين حقن جرافيك المرجح ، يكون جميع مديري كلمات المرور عرضة لضعف AutoSpill.

وقال غانغول إنه أبلغ جوجل ومدير كلمات المرور المتأثرين بهذه الضعف.

وقال بيدرو كاناهواتي، الرئيس التنفيذي للتكنولوجيا في 1Password، إن الشركة حددت وعملت على إصلاح AutoSpill. "على الرغم من أن هذا التحسين سيعزز وضعنا الأمني بشكل أكبر ، فقد تم تصميم وظيفة الشحن التلقائي 1Password لتلبية الإجراءات الصريحة للمستخدم" ، قال كاناهواتي. "سيوفر هذا التحديث حماية إضافية من خلال منع ملء الحقول الأصلية ببيانات اعتماد تستهدف فقط WebView من Android."

وقال كريغ لوري ، الرئيس التنفيذي للتكنولوجيا فيKeper ، إنه تم إخطار الشركة بالضعف المحتمل ، لكنه لم يذكر ما إذا كانت قد أجرت إصلاحات. "طلبنا مقطع فيديو من الباحث لإظهار المشكلة المبلغ عنها. بناء على تحليلنا ، نقرر أن الباحثين قاموا أولا بتثبيت التطبيقات الضارة ثم تلقوا مساهمات من Keeper لإجبار رابطة التطبيقات الضارة بسجلات كلمات مرور Keeper ".

لم ترد Google و Enpass على سؤال TechCrunch. وقال أليكس كوكس، مدير فريق استخبارات التهديد والتخفيف والتصعيد في LastPass، إنه قبل معرفة نتائج الباحثين، كان لدى LastPass بالفعل تخفيف من خلال تنبيهات البث المباشر في المنتج عندما اكتشف التطبيق محاولات الاستغلال. "بعد تحليل هذه النتيجة ، أضفنا تفسيرا أكثر غرابة في البث المباشر" ، قال كوكس.

وقال غانغول إن الباحثين يستكشفون الآن إمكانية أن يتمكن المهاجم من استخراج بيانات الاعتماد من التطبيق إلى WebView. يحقق الفريق أيضا فيما إذا كان يمكن تكرار هذا الضعف على iOS.