Kegagalan Keamanan Android: Celah AutoSpill Ancam Pengguna Password Manager

JAKARTA - Sejumlah password manager populer untuk perangkat mobile tanpa disadari dapat mengungkapkan kredensial pengguna akibat kerentanan dalam fungsionalitas pengisian otomatis (autofill) aplikasi Android.

Kerentanan ini, yang diberi nama "AutoSpill," dapat mengekspos informasi login yang disimpan oleh password manager mobile dengan mengelabui mekanisme autofill yang aman pada Android. Peneliti dari IIIT Hyderabad menemukan kerentanan ini dan menyajikan penelitian mereka di Black Hat Europe pekan ini.

Para peneliti, Ankit Gangwal, Shubham Singh, dan Abhijeet Srivastava, menemukan bahwa saat sebuah aplikasi Android memuat halaman login di WebView, password manager dapat "tersesat" mengenai di mana seharusnya mereka menargetkan informasi login pengguna, dan malah mengungkapkan kredensial mereka ke dalam bidang asli aplikasi yang mendasarinya.

Ini terjadi karena WebView, mesin yang telah diinstal sebelumnya oleh Google, memungkinkan pengembang menampilkan konten web di dalam aplikasi tanpa membuka peramban web, dan permintaan autofill akan dibuat.

“Misalnya, saat Anda mencoba masuk ke aplikasi musik favorit di perangkat seluler Anda dan menggunakan opsi 'masuk via Google atau Facebook.' Aplikasi musik akan membuka halaman login Google atau Facebook di dalamnya melalui WebView,” jelas Gangwal kepada TechCrunch sebelum presentasinya di Black Hat pada  Rabu, 6 Desember.

“Ketika password manager diaktifkan untuk mengisi otomatis kredensial, seharusnya mengisi hanya ke halaman Google atau Facebook yang telah dimuat. Namun, kami menemukan bahwa operasi autofill dapat secara tidak sengaja mengungkapkan kredensial ke aplikasi dasar,” kata Gangwal.

Gangwal mencatat bahwa konsekuensi dari kerentanan ini, terutama dalam skenario di mana aplikasi dasar bersifat berbahaya, sangat signifikan.  “Bahkan tanpa phishing, setiap aplikasi berbahaya yang meminta Anda masuk melalui situs lain, seperti Google atau Facebook, dapat secara otomatis mengakses informasi sensitif,” jelas Gangwal. 

Para peneliti menguji kerentanan AutoSpill menggunakan beberapa password manager paling populer, termasuk 1Password, LastPass, Keeper, dan Enpass, pada perangkat Android yang baru dan terkini. Mereka menemukan bahwa sebagian besar aplikasi rentan terhadap kebocoran kredensial, bahkan ketika penyuntikan JavaScript dinonaktifkan. Ketika penyuntikan JavaScript diaktifkan, semua password manager rentan terhadap kerentanan AutoSpill.

Gangwal mengatakan bahwa ia telah memberi tahu Google dan password manager yang terkena dampak tentang kerentanan ini.

Pedro Canahuati, Chief Technology Officer 1Password, mengatakan bahwa perusahaan telah mengidentifikasi dan bekerja untuk memperbaiki AutoSpill. “Meskipun perbaikan ini akan lebih memperkuat posisi keamanan kami, fungsi pengisian otomatis 1Password telah dirancang untuk memerlukan tindakan eksplisit pengguna,” kata Canahuati. "Pembaruan ini akan memberikan perlindungan tambahan dengan mencegah pengisian bidang asli dengan kredensial yang hanya ditujukan untuk WebView Android."

Craig Lurey, CTO Keeper, mengatakan bahwa perusahaan telah diberi tahu tentang potensi kerentanan, tetapi tidak menyebutkan apakah telah membuat perbaikan. "Kami meminta video dari peneliti untuk menunjukkan masalah yang dilaporkan. Berdasarkan analisis kami, kami menentukan bahwa peneliti pertama kali menginstal aplikasi berbahaya dan selanjutnya menerima prompt dari Keeper untuk memaksa asosiasi aplikasi berbahaya dengan catatan kata sandi Keeper," kata Lurey.

Google dan Enpass tidak menanggapi pertanyaan TechCrunch. Alex Cox, direktur tim intelijen ancaman, mitigasi, dan eskalasi LastPass, mengatakan bahwa sebelum mengetahui temuan peneliti, LastPass sudah memiliki mitigasi melalui peringatan pop-up dalam produk ketika aplikasi mendeteksi upaya memanfaatkan eksploitasi. "Setelah menganalisis temuan ini, kami menambahkan penjelasan yang lebih informatif dalam pop-up tersebut," kata Cox.

Gangwal mengatakan bahwa para peneliti sekarang sedang menjelajahi kemungkinan seorang penyerang dapat mengekstrak kredensial dari aplikasi ke WebView. Tim juga sedang menyelidiki apakah kerentanan ini dapat direplikasi di iOS.