Android安全故障:累了 AutoSpill 密码管理器 用户威胁
雅加达 - 一些流行的移动设备密码管理器在没有意识到的情况下可能会透露由于Android应用程序自动填充功能的漏洞而导致的用户凭据。
该漏洞被命名为“AutoSpill”,可以通过在Android上欺骗安全的autofill机制来暴露移动密码管理器保存的登录信息。IIIT Hyderabad的研究人员发现了这一漏洞,并于本周在Black Hat Europe上提出了他们的研究。
研究人员Ankit Gangwal,Shubham Singh和Abhijeet Srivastava发现,当Android应用程序包含WebView上的登录页面时,密码管理器可能会在其应该针对用户登录信息的位置时“迷失”,反而将其凭据披露到其底层应用程序的原始字段。
之所以发生这种情况,是因为WebView 是 Google 事先安装的机器,允许开发人员在不打开 Web 浏览器的情况下在应用内显示 Web 内容,并且会创建自拍请求。
“例如,当您尝试登录移动设备上最喜欢的音乐应用程序并使用'通过Google或Facebook登录'选项时。音乐应用程序将通过WebView打开Google或Facebook登录页面,“Gangwal在12月6日星期三在Black Hat上演示之前向TechCrunch解释道。
“当密码管理器被激活以自动填写凭据时,它只应将其填写到已上传的Google或Facebook页面。然而,我们发现,自动填写操作可能会意外地向基本应用程序披露凭据,“Gangwal说。
Gangwal指出,这种漏洞的后果,特别是在基本应用程序恶意的情况下,是非常显着的。“即使没有网络钓鱼,任何要求您通过Google或Facebook等其他网站登录的恶意应用程序也可以自动访问敏感信息,”Gangwal解释说。
研究人员使用一些最受欢迎的密码管理器(包括1Password,LastPass,Keaper和Enpass)测试了 AutoSpill 的漏洞,这些漏洞在新款和最新 Android 设备上。他们发现,大多数应用程序都容易受到凭据泄漏的影响,即使JavaScript注射已禁用。当激活JavaScript注射时,所有密码管理器都容易受到 AutoSpill 漏洞的影响。
Gangwal表示,他已通知谷歌和密码管理器,这些密码管理器受到此漏洞的影响。
1Password首席技术官Pedro Canahuati表示,该公司已经识别并致力于改进AtoSpill。“虽然这些改进将进一步加强我们的安全位置,但1Password自动充电功能已经设计为需要用户明确的操作,”Canahuati说。“此更新将通过防止仅用于Android WebView的凭据填充原始字段来提供额外的保护。
Keeper首席技术官C Craig Lurey表示,该公司已被告知潜在的漏洞,但没有提到是否进行了任何维修。“我们要求研究人员的视频显示所报告的问题。根据我们的分析,我们确定研究人员首先安装了恶意应用程序,然后从Keaper收到促销,迫使恶意应用程序与Keaper密码笔记进行关联,“Lurey说。
Google和Enpass没有回应TechCrunch的问题。 LastPass威胁、缓解和升级情报小组主任Alex Cox表示,在获得研究人员的调查结果之前,当应用程序检测利用利用利用的尝试时,LastPass已经通过产品中的弹出警报进行了缓解。“分析了这些发现之后,我们在弹出警报中添加了一种更具信息性的解释,”考克斯说。
Gangwal表示,研究人员现在正在探索攻击者可以将凭据从应用程序提取到WebView的可能性。该团队还在调查iOS上是否可以复制此漏洞。