Android のセキュリティ障害: AutoSpill の脆弱性が パスワード マネージャー ユーザーを脅かす
ジャカルタ - モバイルデバイス用の人気のあるパスワードマネージャーの多くは、Androidアプリケーションの自動入力機能の脆弱性により、知らず知らずのうちにユーザーの資格情報を公開する可能性があります。
「AutoSpill」と名付けられたこの脆弱性は、Android の安全な自動入力メカニズムを回避することにより、モバイル パスワード マネージャーによって保存されているログイン情報を漏洩する可能性があります。 IIIIT ハイデラバードの研究者はこの脆弱性を発見し、今週 Black Hat Europe で研究結果を発表しました。
研究者の Ankit Gangwal 氏、Shubham Singh 氏、Abhijeet Srivastava 氏は、Android アプリが WebView にログイン ページを読み込むと、パスワード管理者は、ユーザーのログイン情報をどこにターゲットにすべきかについて「迷って」しまい、代わりに基礎となるアプリケーションのネイティブ フィールドで資格情報を明らかにしてしまう可能性があります。
これは、Google のプリインストール エンジンである WebView を使用すると、開発者が Web ブラウザを開かずにアプリケーション内で Web コンテンツを表示でき、自動入力リクエストが生成されるために発生します。
「たとえば、モバイル デバイスでお気に入りの音楽アプリにログインし、「Google または Facebook 経由でサインイン」を使用しようとするとします。 音楽アプリは、WebView 経由でアプリ内で Google または Facebook のログイン ページを開きます」と、12 月 6 日水曜日の Black Hat でのプレゼンテーションに先立ち、Gangwal 氏は TechCrunch に説明しました。
「パスワード マネージャーが資格情報の自動入力を有効にしている場合、すでに読み込まれている Google または Facebook ページにのみ入力される必要があります。 しかし、自動入力操作により、基礎となるアプリケーションの資格情報が誤って公開される可能性があることがわかりました」と Gangwal 氏は述べています。
Gangwal 氏は、この脆弱性の影響は、特に基盤となるアプリケーションが悪意のあるシナリオでは重大であると指摘しました。 「フィッシングでなくても、Google や Facebook など、別のサイトからのログインを要求する悪意のあるアプリは、自動的に機密情報にアクセスする可能性があります」と Gangwal 氏は説明します。
研究者らは、1Password、LastPass、Keeper、Enpass などの最も一般的なパスワード マネージャーのいくつかを使用して、新しいおよび最近の Android デバイスで AutoSpill の脆弱性をテストしました。 彼らは、JavaScript インジェクションが無効になっている場合でも、ほとんどのアプリケーションが認証情報の漏洩に対して脆弱であることを発見しました。 JavaScript インジェクションが有効になっている場合、すべてのパスワード マネージャーは AutoSpill の脆弱性に対して脆弱になります。
Gangwal 氏は、この脆弱性について Google と影響を受けるパスワード管理者に通知したと述べた。
1Password の最高技術責任者である Pedro Canahuati 氏は、同社が AutoSpill を特定し、修正に取り組んでいると述べました。 「これらの改善により当社のセキュリティ体制はさらに強化されますが、1Password の自動入力機能はユーザーの明示的なアクションを必要とするように設計されています」と Canahuati 氏は述べています。 「このアップデートでは、Android WebView のみを対象とした認証情報がネイティブ フィールドに入力されるのを防ぐことで、保護が強化されます。」
Keeper の CTO である Craig Lurey 氏は、同社は潜在的な脆弱性について通知を受けていたと述べたが、修正を行ったかどうかについては明らかにしなかった。 「私たちは、報告された問題を実証するために研究者にビデオを要求しました。私たちの分析に基づいて、私たちは、研究者が最初に悪意のあるアプリケーションをインストールし、その後、悪意のあるアプリケーションと Keeper のパスワード レコードの関連付けを強制するよう Keeper からプロンプトを受け取ったと判断しました。 」とルーリーは言いました。
GoogleとEnpassはTechCrunchの質問に回答しなかった。 LastPass の脅威インテリジェンス、緩和およびエスカレーション チームのディレクターである Alex Cox 氏は、研究者の調査結果を知る前に、LastPass ではアプリがエクスプロイトの試みを検出したときに製品のポップアップ アラートを通じてすでに緩和策を講じていたと述べました。 「これらの調査結果を分析した後、ポップアップにさらに有益な説明を追加しました」とコックス氏は述べています。
Gangwal 氏は、研究者は現在、攻撃者がアプリケーションから WebView への資格情報を抽出できる可能性を調査していると述べました。 同チームは、この脆弱性がiOSでも再現できるかどうかも調査している。