"/>modèles isométriques de mots de passe avec des caractères masqués

Crédits images : Bryce Durbin/TechCrunch

Un certain nombre de populaires gestionnaires de mots de passe mobiles divulguent par inadvertance les informations d’identification des utilisateurs en raison d’une vulnérabilité dans la fonctionnalité de remplissage automatique des applications Android.

La vulnérabilité, baptisée « AutoSpill », peut exposer les informations d'identification enregistrées par les utilisateurs à partir des gestionnaires de mots de passe mobiles en contournant le mécanisme de saisie automatique sécurisé d'Android, selon des chercheurs universitaires de l'IIIT Hyderabad, qui ont découvert la vulnérabilité et présenté leurs recherches à Black Hat Europe cette semaine.

Les chercheurs Ankit Gangwal, Shubham Singh et Abhijeet Srivastava ont découvert que lorsqu'une application Android charge une page de connexion dans WebView, les gestionnaires de mots de passe peuvent être « désorientés » quant à l'endroit où ils doivent cibler les informations de connexion de l'utilisateur et exposer leurs informations d'identification aux applications sous-jacentes. champs indigènes, disaient-ils. En effet, WebView, le moteur préinstallé de Google, permet aux développeurs d'afficher du contenu Web dans l'application sans lancer de navigateur Web, et une requête de remplissage automatique est générée.

Publicité

« Disons que vous essayez de vous connecter à votre application musicale préférée sur votre appareil mobile et que vous utilisez l'option « Connexion via Google ou Facebook ». L'application musicale ouvrira une page de connexion Google ou Facebook en elle-même via WebView », a expliqué Gangwal à TechCrunch avant leur présentation Black Hat mercredi.

«Lorsque le gestionnaire de mots de passe est invoqué pour remplir automatiquement les informations d'identification, idéalement, il devrait se remplir automatiquement uniquement dans la page Google ou Facebook qui a été chargée. Mais nous avons constaté que l’opération de remplissage automatique pouvait accidentellement exposer les informations d’identification à l’application de base.

Gangwal note que les conséquences de cette vulnérabilité, en particulier dans un scénario où l'application de base est malveillante, sont importantes. Il a ajouté : « Même sans phishing, toute application malveillante qui vous demande de vous connecter via un autre site, comme Google ou Facebook, peut accéder automatiquement à des informations sensibles. »

Les chercheurs ont testé la vulnérabilité AutoSpill à l'aide de certains des gestionnaires de mots de passe les plus populaires, notamment 1Password, LastPass, Keeper et Enpass, sur des appareils Android nouveaux et à jour. Ils ont constaté que la plupart des applications étaient vulnérables aux fuites d’informations d’identification, même si l’injection JavaScript était désactivée. Lorsque l'injection JavaScript était activée, tous les gestionnaires de mots de passe étaient sensibles à leur vulnérabilité AutoSpill.

Gangwal dit avoir alerté Google et les gestionnaires de mots de passe concernés de la faille.

Pedro Canahuati, directeur de la technologie de 1Password, a déclaré à TechCrunch que la société avait identifié et travaillait sur un correctif pour AutoSpill. « Bien que le correctif renforce encore notre posture de sécurité, la fonction de remplissage automatique de 1Password a été conçue pour obliger l'utilisateur à prendre des mesures explicites », a déclaré Canahuati. « La mise à jour fournira une protection supplémentaire en empêchant les champs natifs d'être remplis avec des informations d'identification uniquement destinées au WebView d'Android. »

Le CTO de Keeper, Craig Lurey, a déclaré dans des remarques partagées avec TechCrunch que la société avait été informée d'une vulnérabilité potentielle, mais n'a pas précisé si elle avait apporté des correctifs. « Nous avons demandé une vidéo au chercheur pour démontrer le problème signalé. Sur la base de notre analyse, nous avons déterminé que le chercheur avait d'abord installé une application malveillante, puis accepté une invite de Keeper pour forcer l'association de l'application malveillante à un enregistrement de mot de passe Keeper », a déclaré Lurey.

Keeper a déclaré qu'il « met en place des garanties pour protéger les utilisateurs contre le remplissage automatique d'informations d'identification dans une application non fiable ou un site qui n'a pas été explicitement autorisé par l'utilisateur », et a recommandé au chercheur de soumettre son rapport à Google « car il est spécifiquement lié au système Android ». plate-forme. »

Google et Enpass n'ont pas répondu aux questions de TechCrunch. Alex Cox, directeur de l'équipe de renseignement, d'atténuation et d'escalade des menaces de LastPass, a déclaré à TechCrunch qu'avant d'être informé des conclusions des chercheurs, LastPass avait déjà mis en place une atténuation via un avertissement contextuel intégré au produit lorsque l'application détectait un tenter d’exploiter l’exploit. « Après avoir analysé les résultats, nous avons ajouté une formulation plus informative dans la fenêtre contextuelle », a déclaré Cox.

Gangwal explique à TechCrunch que les chercheurs explorent actuellement la possibilité qu'un attaquant puisse extraire les informations d'identification de l'application vers WebView. L'équipe étudie également si la vulnérabilité peut être répliquée sur iOS.

->Google Actualités

4.8/5 - (24 votes)
Publicité
Article précédent« PLONGEZ DANS RONDO : LA CARTE LA PLUS EXCITANTE DE PUBG JAMAIS EN DIRECT »
Article suivantLa bande-annonce de The Last of Us Part 2 Remastered No Return présente 10 personnages jouables et le retour du Rat King
Mélissa Babineaux
Mélissa Babineaux

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici