Resumo
- Os pesquisadores descobriram uma vulnerabilidade entre os gerenciadores de senhas do Android, chamada “AutoSpill”, que pode permitir que aplicativos maliciosos roubem credenciais de usuários enquanto preenchem automaticamente os detalhes de login.
- Os pesquisadores disseram que testaram a vulnerabilidade em vários dispositivos Android, embora aparentemente em modelos mais antigos.
- Várias marcas de gerenciadores de senhas já estão abordando a vulnerabilidade, algumas oferecendo avisos aprimorados aos usuários.
Os gerenciadores de senhas desempenham um papel essencial na simplificação de nossa atividade online. Eles podem armazenar com segurança um grande número de contas e suas senhas correspondentes, com a conveniência de preencher automaticamente os dados ao entrar em um novo serviço. Apesar das salvaguardas implementadas pelo Google e pelos gerenciadores de senhas, a natureza evolutiva da segurança móvel significa que novas vulnerabilidades continuam surgindo. Pesquisadores do Instituto Internacional de Tecnologia da Informação (IIIT) em Hyderabad, Índia, descobriram um novo problema com alguns gerenciadores de senhas no Android, em que aplicativos maliciosos podem roubar ou capturar as credenciais do usuário no WebView, especialmente quando o gerenciador de senhas tenta preencher automaticamente o login. credenciais.
Nomeado “Derramamento automático“esta vulnerabilidade foi descoberta conjuntamente por Ankit Gangwal, Shubham Singh e Abhijeet Srivastava, que supostamente entraram em contato com os fabricantes dos aplicativos gerenciadores de senhas nos quais testaram – 1Password, LastPass, Keeper e Enpass – bem como com o Google. Apresentaram as suas conclusões em detalhe no recentemente concluído BlackHat Europe 2023, um conhecido fórum anual de cibersegurança.
O trio de pesquisadores conduziu os testes em “dispositivos Android novos e atualizados“, de acordo com o TechCrunch. No entanto, um dos slides da apresentação revela o uso de um Poco F1 executando o Android 10 e o patch de segurança de dezembro de 2020, o Samsung Galaxy A52 (Android 12, patch de abril de 2022) e o Galaxy Tab S6 Lite (Android 11, patch de janeiro de 2022). Sem telefones Android 13 ou Android 14 usados para testar esta vulnerabilidade, não podemos descartar a noção de que o Google já está ciente dela ou talvez até a tenha corrigido com as versões mais recentes do Android.
WebView no Android abre uma página da web dentro do aplicativo sem mudar para o navegador móvel principal. Isso geralmente é usado durante logins no aplicativo e em outros cenários, para tornar as coisas um pouco mais fáceis. A maioria dos usuários está bastante familiarizada com o Faça login no Google ou Faça login com o Facebook opções que aparecem ao fazer login em um serviço dentro do aplicativo. Os gerenciadores de senhas são projetados para buscar e preencher automaticamente seus detalhes de login como forma de economizar tempo, e é aí que a vulnerabilidade AutoSpill entra na equação, de acordo com os pesquisadores.
Em uma conversa com o TechCrunch, os pesquisadores disseram que os gerenciadores de senhas podem ficar “desorientados” sobre onde os detalhes de login devem ir e, portanto, revelar os dados confidenciais para o “aplicativo base”.
“Quando o gerenciador de senhas é invocado para preencher automaticamente as credenciais, idealmente, ele deve preencher automaticamente apenas na página do Google ou do Facebook que foi carregada. Mas descobrimos que a operação de preenchimento automático pode acidentalmente expor as credenciais ao aplicativo base”, disse o pesquisador Gangwal. TechCrunch.
Entramos em contato com os criadores do popular gerenciador de senhas BitWarden, que responderam com a seguinte declaração:
O Bitwarden não foi listado nesta pesquisa e não foi notificado pelos pesquisadores de que isso afeta o Bitwarden. A Bitwarden está atualmente investigando os detalhes e irá resolvê-los se necessário.
Enquanto isso, o 1Password disse estar ciente dessa vulnerabilidade e que a empresa está em processo de implementação de uma correção. O CTO da Keeper, Craig Lurey, disse que seu serviço tem salvaguardas “para proteger os usuários contra o preenchimento automático de credenciais em um aplicativo não confiável ou em um site que não foi explicitamente autorizado pelo usuário”.
Por outro lado, o diretor de inteligência de ameaças do LastPass, Alex Cox, disse ao TechCrunch que seu serviço já incluía um pop-up de aviso para aplicativos que tentam tirar proveito dessa exploração antes mesmo de a vulnerabilidade ser revelada no Black Hat. Cox continuou dizendo que a equipe adicionou mais “texto informativo” ao pop-up desde esta nova revelação.
Quanto aos próximos passos dos três pesquisadores, eles supostamente estão tentando replicar o mesmo ataque no iOS da Apple, ao mesmo tempo em que tentam descobrir se um invasor em potencial pode obter detalhes do aplicativo e colocá-los na página WebView.
Para ser claro, um invasor só poderá explorar o AutoSpill com sucesso se o usuário estiver no WebView dentro de um aplicativo desconhecido ou malicioso. Além disso, seu telefone Android pessoal pode não exigir preenchimento automático de aplicativos gerenciadores de senhas, especialmente se você estiver fazendo login com a conta principal do Google do dispositivo. Em nossa experiência, os gerenciadores de senhas não têm sido confiáveis no acesso ao preenchimento automático para login, então, na maioria das vezes, acabamos usando o bom e velho método de copiar/colar. Estamos curiosos para ver o que o Google acha dessa exploração, agora que os fabricantes de aplicativos gerenciadores de senhas já confirmaram que isso é um problema.
