Ο διαχειριστής κωδικών πρόσβασης του κινητού σας μπορεί να αποκαλύπτει τα διαπιστευτήριά σας

Ορισμένοι δημοφιλείς διαχειριστές κωδικών πρόσβασης για κινητά διαχέουν κατά λάθος τα διαπιστευτήρια χρήστη λόγω ευπάθειας στη λειτουργία αυτόματης συμπλήρωσης των εφαρμογών Android.

Η ευπάθεια, που ονομάζεται “AutoSpill”, μπορεί να εκθέσει τα αποθηκευμένα διαπιστευτήρια των χρηστών από τους διαχειριστές κωδικών πρόσβασης κινητών, παρακάμπτοντας τον ασφαλή μηχανισμό αυτόματης συμπλήρωσης του Android, σύμφωνα με πανεπιστημιακούς ερευνητές στο IIIT Hyderabad, οι οποίοι ανακάλυψαν την ευπάθεια και παρουσίασαν την έρευνά τους στο Black Hat Europe αυτή την εβδομάδα.

Οι ερευνητές, οι Ankit Gangwal, Shubham Singh και Abhijeet Srivastava, διαπίστωσαν ότι όταν μια εφαρμογή Android φορτώνει μια σελίδα σύνδεσης στο WebView, η προεγκατεστημένη μηχανή από την Google που επιτρέπει στους προγραμματιστές να εμφανίζουν περιεχόμενο ιστού εντός εφαρμογής χωρίς εκκίνηση προγράμματος περιήγησης ιστού και αυτόματη συμπλήρωση δημιουργείται αίτημα, οι διαχειριστές κωδικών πρόσβασης μπορούν να «αποπροσανατολιστούν» σχετικά με το πού πρέπει να στοχεύσουν τα στοιχεία σύνδεσης του χρήστη και αντί να εκθέσουν τα διαπιστευτήριά τους στα εγγενή πεδία της υποκείμενης εφαρμογής, είπαν.

“Ας υποθέσουμε ότι προσπαθείτε να συνδεθείτε στην αγαπημένη σας εφαρμογή μουσικής στην κινητή συσκευή σας και χρησιμοποιείτε την επιλογή “σύνδεση μέσω Google ή Facebook”. Η εφαρμογή μουσικής θα ανοίξει μια σελίδα σύνδεσης Google ή Facebook μέσα της μέσω του WebView», εξήγησε ο Gangwal στο TechCrunch πριν από την παρουσίαση του Black Hat την Τετάρτη.

«Όταν ο διαχειριστής κωδικών πρόσβασης καλείται για αυτόματη συμπλήρωση των διαπιστευτηρίων, ιδανικά, θα πρέπει να συμπληρώνεται αυτόματα μόνο στη σελίδα Google ή Facebook που έχει φορτωθεί. Ωστόσο, διαπιστώσαμε ότι η λειτουργία αυτόματης συμπλήρωσης θα μπορούσε να εκθέσει κατά λάθος τα διαπιστευτήρια στη βασική εφαρμογή.”

Ο Gangwall σημειώνει ότι οι συνέπειες αυτής της ευπάθειας, ιδιαίτερα σε ένα σενάριο όπου η βασική εφαρμογή είναι κακόβουλη, είναι σημαντικές. Και πρόσθεσε: «Ακόμη και χωρίς ηλεκτρονικό ψάρεμα, οποιαδήποτε κακόβουλη εφαρμογή που σας ζητά να συνδεθείτε μέσω άλλου ιστότοπου, όπως το Google ή το Facebook, μπορεί αυτόματα να έχει πρόσβαση σε ευαίσθητες πληροφορίες».

Οι ερευνητές δοκίμασαν την ευπάθεια AutoSpill χρησιμοποιώντας μερικούς από τους πιο δημοφιλείς διαχειριστές κωδικών πρόσβασης, συμπεριλαμβανομένων των 1Password, LastPass, Keeper και Enpass, σε νέες και ενημερωμένες συσκευές Android. Διαπίστωσαν ότι οι περισσότερες εφαρμογές ήταν ευάλωτες σε διαρροή διαπιστευτηρίων, ακόμη και με απενεργοποιημένη την ένεση JavaScript. Όταν ενεργοποιήθηκε η ένεση JavaScript, όλοι οι διαχειριστές κωδικών πρόσβασης ήταν ευάλωτοι στην ευπάθεια AutoSpill.

Ο Gangwal λέει ότι ειδοποίησε την Google και τους επηρεαζόμενους διαχειριστές κωδικών πρόσβασης για το ελάττωμα.

Ο επικεφαλής τεχνολογίας του 1Password, Pedro Canahuati, είπε στο TechCrunch ότι η εταιρεία έχει εντοπίσει και εργάζεται σε μια επιδιόρθωση για το AutoSpill. “Ενώ η επιδιόρθωση θα ενισχύσει περαιτέρω τη στάση ασφαλείας μας, η λειτουργία αυτόματης συμπλήρωσης του 1Password έχει σχεδιαστεί για να απαιτεί από τον χρήστη να λάβει ρητή δράση”, δήλωσε ο Canahuati. “Η ενημέρωση θα παρέχει πρόσθετη προστασία αποτρέποντας την πλήρωση εγγενών πεδίων με διαπιστευτήρια που προορίζονται μόνο για το WebView του Android.”

Ο φύλακας CTO Craig Lurey είπε σε παρατηρήσεις που κοινοποιήθηκαν στο TechCrunch ότι η εταιρεία ειδοποιήθηκε για μια πιθανή ευπάθεια, αλλά δεν είπε εάν είχε κάνει διορθώσεις. «Ζητήσαμε ένα βίντεο από τον ερευνητή για να επιδείξουμε το αναφερόμενο πρόβλημα. Με βάση την ανάλυσή μας, προσδιορίσαμε ότι ο ερευνητής είχε εγκαταστήσει πρώτα μια κακόβουλη εφαρμογή και, στη συνέχεια, αποδέχτηκε μια προτροπή από τον Keeper να αναγκάσει τη συσχέτιση της κακόβουλης εφαρμογής σε μια εγγραφή κωδικού πρόσβασης Keeper», είπε ο Lurey.

Ο Keeper είπε ότι “προστατεύει τους χρήστες από την αυτόματη συμπλήρωση διαπιστευτηρίων σε μια μη αξιόπιστη εφαρμογή ή έναν ιστότοπο που δεν ήταν ρητά εξουσιοδοτημένος από τον χρήστη” και συνέστησε στον ερευνητή να υποβάλει την έκθεσή του στην Google “καθώς σχετίζεται ειδικά με το Android πλατφόρμα.”

Η Google και το Enpass δεν απάντησαν στις ερωτήσεις του TechCrunch. Η εκπρόσωπος του LastPass, Elizabeth Bassler, δεν σχολίασε την ώρα του Τύπου.

Ο Gangwal λέει στο TechCrunch ότι οι ερευνητές διερευνούν τώρα την πιθανότητα ένας εισβολέας να εξάγει διαπιστευτήρια από την εφαρμογή στο WebView. Η ομάδα διερευνά επίσης εάν η ευπάθεια μπορεί να αναπαραχθεί στο iOS.