Менеджеры паролей играют важную роль в упрощении нашей работы в Интернете. Они позволяют надежно хранить множество учетных записей и соответствующих им ключей доступа, а также автоматически заполнять их при входе в новый сервис. Несмотря на меры безопасности, принятые Google и менеджерами паролей, развивающаяся природа мобильной безопасности означает появление новых уязвимостей. Исследователи из Международного института информационных технологий (IIIT) в Хайдарабаде (Индия) обнаружили новую проблему в некоторых менеджерах паролей на Android: вредоносные программы могут украсть или перехватить учетные данные пользователя, особенно когда менеджер паролей пытается автоматически заполнить учетные данные.
Опасно ли пользоваться менеджерами паролей
Уязвимость, получившая название «AutoSpill», была обнаружена совместными усилиями Анкита Гангвала, Шубхама Сингха и Абхиджита Шриваставы, которые, как сообщается, связались с производителями приложений для управления паролями, на которых они ее тестировали, — 1Password, LastPass, Keeper и Enpass, а также с компанией Google. Свои выводы они подробно представили на недавно завершившемся BlackHat Europe 2023 — ежегодном форуме по кибербезопасности.
Не забывайте о нашем Дзен, где очень много всего интересного и познавательного!
Трио исследователей проводило тесты на «новых и современных Android-устройствах», сообщает TechCrunch. Однако на одном из слайдов их презентации показано, что использовались Poco F1 под управлением Android 10 и патча безопасности от декабря 2020 года, Samsung Galaxy A52 (Android 12, патч от апреля 2022 года) и Galaxy Tab S6 Lite (Android 11, патч от января 2022 года). Поскольку для тестирования этой уязвимости не использовались телефоны с Android 13 или Android 14, мы не можем исключить версию, что Google уже знает об уязвимости или, возможно, даже исправила ее в более поздних версиях Android.
Присоединяйтесь к нам в Telegram!
Как утекают пароли с телефона
WebView на Android открывает веб-страницу внутри приложения без переключения на основной мобильный браузер. Обычно это используется при входе в приложение. Большинство пользователей хорошо знакомы с опциями «Войти с помощью Google», которые появляются при входе в сервис внутри приложения. Менеджеры паролей разработаны таким образом, чтобы получать и автоматически заполнять ваши данные для входа в систему в целях экономии времени, и именно здесь, по словам исследователей, в дело вступает уязвимость AutoSpill.
В беседе с TechCrunch исследователи заявили, что менеджеры паролей могут быть «дезориентированы» относительно того, куда следует отправлять данные для входа в систему, и поэтому вместо этого передают конфиденциальные данные «базовому приложению».
Когда менеджер паролей вызывается для автозаполнения учетных данных, в идеале он должен вносить их только в загруженную страницу Google. Но мы обнаружили, что операция автозаполнения может случайно выдать учетные данные базовому приложению», — рассказал TechCrunch исследователь Гангвал.
Что менеджеры паролей делают для безопасности
Между тем, 1Password заявила, что ей известно об этой уязвимости и что компания находится в процессе развертывания исправления. Технический директор Keeper Крейг Люрей (Craig Lurey) заявил, что в его сервисе предусмотрены меры «защиты пользователей от автоматического ввода учетных данных в ненадежное приложение или на сайт, который не был явно авторизован пользователем».
С другой стороны, директор по анализу угроз LastPass Алекс Кокс сообщил TechCrunch, что их сервис уже включает всплывающее предупреждение для приложений, которые пытаются воспользоваться этим эксплойтом, еще до того, как об уязвимости стало известно на Black Hat. Кокс отметил, что после нового разоблачения команда добавила во всплывающее окно более «информативную формулировку”.
Что касается дальнейших действий трех исследователей, то они якобы пытаются воспроизвести эту же атаку на iOS от Apple.
Как могут украсть пароль с телефона
Для ясности злоумышленник может успешно использовать AutoSpill только в том случае, если пользователь находится на WebView в неизвестном или вредоносном приложении. Кроме того, ваш личный телефон Android может не требовать автозаполнения из приложений-менеджеров паролей, особенно если вы входите в систему с помощью основной учетной записи Google на устройстве.
Если ищите что-то интересное на AliExpress, не проходите мимо Telegram-канала "Сундук Али-Бабы"!
По нашему опыту, менеджеры паролей не очень надежны в плане автозаполнения для входа в систему, поэтому мы в основном используем старый добрый метод копирования/вставки. Нам интересно посмотреть, что Google сделает с этим эксплойтом, ведь производители приложений для управления паролями уже подтвердили, что это действительно является проблемой.