L’échec de sécurité pour Android : le gérant de mot de passe menacé par l’AutoSpill

JAKARTA - Un certain nombre de gestionnaires de mots de passe populaires pour les appareils mobiles sans le savoir peuvent révéler l’identification utilisateur en raison de vulnérabilités dans la fonctionnalité de charge automatique des applications Android.

Cette vulnérabilité, appelée « AutoSpill », pourrait exposer les informations de connexion stockées par le gérant de mot de passe mobile en trompaant le mécanisme sécurisé d’autopill sur Android. Les chercheurs de l’IIT Hyderabad ont découvert cette vulnérabilité et ont présenté leurs recherches à Black hat Europe cette semaine.

Les chercheurs, Ankit Gangwal, Shubham Singh et Abhijeet Srivastava, ont découvert que lorsque une application Android comporte une page de connexion sur WebView, le gérant de mots de mots de mots peut être « perdu » partout où ils devraient cibler les informations de connexion des utilisateurs et plutôt révéler leur crédibilité dans le domaine d’origine de l’application de base.

Cela se produit parce que WebView, une machine précédemment installée par Google, permet aux développeurs d’afficher du contenu Web dans l’application sans ouvrir le navigateur Web, et des demandes de remplissage automatique seront créées.

« Par exemple, lorsque vous essayez de connecter à l’application de musique préférée sur votre appareil mobile et utilisez l’option « inclure via Google ou Facebook ». L’application de musique y ouvrira la page de connexion Google ou Facebook via WebView », a déclaré Gangwal à TechCrunch avant sa présentation sur Black hat le mercredi 6 décembre.

« Lorsque le gérant de mot de passe est activé pour remplir automatiquement les cartes d’identification, vous ne devrait le remplir que dans les pages Google ou Facebook qui ont été téléchargées. Cependant, nous avons constaté que les opérations de remplissage automatique peuvent accidentellement révéler la crédibilité de l’application de base », a déclaré Gangwal.

Gangwal a noté que les conséquences de cette vulnérabilité, en particulier dans un scénario où les applications de base sont malveillantes, sont très importantes. « Même sans phishing, toute application malveillante qui vous demande d’accéder via d’autres sites, tels que Google ou Facebook, peut accéder automatiquement à des informations sensibles », a expliqué Gangwal.

Les chercheurs ont testé la vulnérabilité d’AutoSpill à l’aide de certains des gestionnaires de mots de mots de mots les plus populaires, notamment 1Password, lastPass,Keeper et Enpass, sur les nouveaux et les derniers appareils Android. Ils ont constaté que la plupart des applications sont sujettes aux fuites de crédit, même lorsque l’injection de javiscafé est désactivée. Lorsque l’injection de javiscafé est activée, tous les gestionnaires de mots de mots de mots de mots de mots sont sujettes aux vulnérabilités d’AutoSpill.

Gangwal a déclaré qu’il avait informé Google et le gérant de mot de passe touchés de la vulnérabilité.

Pedro Canahuati, directeur de la technologie de 1Password, a déclaré que l’entreprise avait identifié et travaillé à améliorer AutoSpill. « Bien que cette amélioration renforce encore notre position sécuritaire, la fonction de charge automatique de 1Password a été conçue pour nécessiter une action explicite de l’utilisateur », a déclaré Canahuati. « Cette mise à jour fournira une protection supplémentaire en empêchant le charger des champs originaux avec des créances qui ne sont utilisées que pour Android Webview. »

Craig Lurey, CTO Storage, a déclaré que la société avait été informée de la vulnérabilité potentielle, mais n’a pas précisé s’il avait apporté une amélioration. « Nous avons demandé aux chercheurs de montrer le problème signalé. Sur la base de notre analyse, nous avons déterminé que les chercheurs ont d’abord installé des applications malveillantes, puis reçu des conseils deKever pour forcer l’association d’applications malveillantes à un enregistrement de mot de passe deKever », a déclaré Lurey.

Google et Enpass n’ont pas répondu aux questions de TechCrunch. Alex Cox, directeur de l’équipe de renseignement sur les menaces, l’atténuation et l’escalade de lastPass, a déclaré qu’avant que les résultats des chercheurs connaissent, lastPass avait déjà une atténuation par des avertissements pop-up dans les produits lorsque les applications détectent les efforts d’exploitation. « Après avoir analysé ces résultats, nous avons ajouté une explication plus informative à ces pop-ups », a déclaré Cox.

Gangwal a déclaré que les chercheurs exploraient maintenant la possibilité qu’un attaquant puisse extraire des informations d’identification à partir d’applications dans WebView. L’équipe enquête également sur la possibilité que cette vulnérabilité puisse être reproduite sur iOS.