Ορισμένοι δημοφιλείς διαχειριστές κωδικών πρόσβασης για κινητά διαρρέουν κατά λάθος τα διαπιστευτήρια των χρηστών λόγω μιας ευπάθειας στη λειτουργία αυτόματης συμπλήρωσης των Android εφαρμογών.
Η ευπάθεια, που ονομάζεται “AutoSpill“, μπορεί να εκθέσει τα αποθηκευμένα διαπιστευτήρια των χρηστών από τους διαχειριστές κωδικών πρόσβασης κινητών, παρακάμπτοντας τον ασφαλή μηχανισμό αυτόματης συμπλήρωσης του Android, σύμφωνα με πανεπιστημιακούς ερευνητές στο IIIT Hyderabad, οι οποίοι ανακάλυψαν την ευπάθεια και παρουσίασαν την έρευνά τους στο Black Hat Europe αυτή την εβδομάδα.
Οι ερευνητές, οι Ankit Gangwal, Shubham Singh και Abhijeet Srivastava, διαπίστωσαν ότι όταν μια εφαρμογή Android φορτώνει μια σελίδα σύνδεσης στο WebView, οι διαχειριστές κωδικών πρόσβασης μπορεί να “αποπροσανατολιστούν” με το πού πρέπει να στοχεύσουν τα στοιχεία σύνδεσης του χρήστη και αντί να εκθέσουν τα διαπιστευτήριά τους στην κανονική σελίδα σύνδεσης, τα πλασάρουν στους επιτιθέμενους. Αυτό οφείλεται στο γεγονός ότι το WebView, η προεγκατεστημένη μηχανή από την Google, επιτρέπει στους προγραμματιστές να εμφανίζουν περιεχόμενο ιστού εντός της εφαρμογής χωρίς να εκκινούν κάποιο πρόγραμμα περιήγησης.
“Ας υποθέσουμε ότι προσπαθείτε να συνδεθείτε στην αγαπημένη σας εφαρμογή μουσικής στην κινητή συσκευή σας και χρησιμοποιείτε την επιλογή “σύνδεση μέσω Google ή Facebook”. Η εφαρμογή μουσικής θα ανοίξει μια σελίδα σύνδεσης της Google ή του Facebook μέσα της μέσω του WebView”, εξήγησε ο Gangwal στο TechCrunch πριν από την παρουσίαση του Black Hat την Τετάρτη.
“Όταν ο διαχειριστής κωδικών πρόσβασης καλείται για την αυτόματη συμπλήρωση των διαπιστευτηρίων, ιδανικά, θα πρέπει να συμπληρώνεται αυτόματα μόνο στη σελίδα της Google ή του Facebook που έχει φορτωθεί. Όμως διαπιστώσαμε ότι η λειτουργία αυτόματης συμπλήρωσης θα μπορούσε να εκθέσει κατά λάθος τα διαπιστευτήρια και στη βασική εφαρμογή.” Ο Gangwal σημειώνει ότι οι συνέπειες αυτής της ευπάθειας, ιδιαίτερα σε ένα σενάριο όπου η βασική εφαρμογή είναι κακόβουλη, είναι σημαντικές Και πρόσθεσε:
“Ακόμη και χωρίς ηλεκτρονικό ψάρεμα, οποιαδήποτε κακόβουλη εφαρμογή που σας ζητά να συνδεθείτε μέσω άλλου ιστότοπου, όπως την Google ή το Facebook, μπορεί αυτόματα να έχει πρόσβαση σε ευαίσθητες πληροφορίες”.
Οι ερευνητές δοκίμασαν την ευπάθεια AutoSpill χρησιμοποιώντας μερικούς από τους πιο δημοφιλείς διαχειριστές κωδικών πρόσβασης, όπως τους 1Password, LastPass, Keeper και Enpass, σε νέες και ενημερωμένες συσκευές Android.
Διαπίστωσαν ότι οι περισσότερες εφαρμογές ήταν ευάλωτες σε διαρροή διαπιστευτηρίων, ακόμη και με απενεργοποιημένο το JavaScript injection. Όταν ενεργοποιήθηκε το JavaScript injection, όλοι οι διαχειριστές κωδικών πρόσβασης ήταν ευάλωτοι στην ευπάθεια. Ο Gangwal αναφέρει ότι ειδοποίησε την Google και τους επηρεαζόμενους διαχειριστές κωδικών πρόσβασης για το ελάττωμα. Η ομάδα του διερευνά επίσης εάν η ευπάθεια μπορεί να αναπαραχθεί στο iOS.