Crédits images : Bryce Durbin/TechCrunch
Un certain nombre de gestionnaires de mots de passe mobiles populaires divulguent involontairement les informations d’identification des utilisateurs en raison d’une vulnérabilité dans la fonction de remplissage automatique des applications Android.
La vulnérabilité, baptisée « AutoSpill », pourrait exposer les informations d’identification enregistrées par les utilisateurs à partir des gestionnaires de mots de passe mobiles en contournant le mécanisme de saisie automatique sécurisé d’Android, selon des chercheurs universitaires de l’IIIT Hyderabad, qui ont découvert la vulnérabilité et présenté leurs recherches dans Black Hat Europe cette semaine.
Les chercheurs Ankit Gangwal, Shubham Singh et Abhijit Srivastava ont découvert que lorsqu’une application Android charge une page de connexion dans WebView, le moteur préinstallé de Google qui permet aux développeurs d’afficher du contenu Web dans l’application sans lancer de navigateur Web, un remplissage automatique est généré. et la requête est générée, ont-ils déclaré, et les gestionnaires de mots de passe peuvent être « confus » quant à l’endroit où ils doivent cibler les informations de connexion d’un utilisateur et à la place exposer leurs informations d’identification aux champs natifs de l’application sous-jacente.
« Disons que vous essayez de vous connecter à votre application musicale préférée sur votre appareil mobile et que vous utilisez l’option « Connectez-vous avec Google ou Facebook ». L’application musicale ouvrira une page de connexion Google ou Facebook en elle-même via une WebView. « , a expliqué Gangwal à TechCrunch avant la présentation privée. À Black Hat mercredi.
« Lorsqu’un gestionnaire de mots de passe est appelé pour remplir automatiquement les informations d’identification, il est préférable de remplir automatiquement uniquement la page Google ou Facebook chargée. Mais nous avons constaté que le processus de saisie automatique peut exposer par erreur les informations d’identification à l’application sous-jacente. «
Gangwall souligne que les conséquences de cette vulnérabilité, notamment dans un scénario où l’application sous-jacente est malveillante, sont importantes. « Même sans phishing, toute application malveillante vous demandant de vous connecter via un autre site, comme Google ou Facebook, peut accéder automatiquement à des informations sensibles », a-t-il ajouté.
Les chercheurs ont testé la vulnérabilité AutoSpill à l’aide de certains des gestionnaires de mots de passe les plus populaires, notamment 1Password, LastPass, Keeper et Enpass, sur des appareils Android nouveaux et mis à jour. Ils ont constaté que la plupart des applications étaient vulnérables aux fuites d’informations d’identification, même si l’injection JavaScript était désactivée. Lorsque l’injection JavaScript était activée, tous les gestionnaires de mots de passe étaient vulnérables à leur vulnérabilité AutoSpill.
Gangwal affirme avoir alerté Google et les gestionnaires de mots de passe concernés de la faille.
Pedro Canahuati, directeur de la technologie chez 1Password, a déclaré à TechCrunch que la société avait identifié et travaillait sur un correctif pour AutoSpill. « Bien que le correctif renforce notre posture de sécurité, la fonctionnalité de remplissage automatique de 1Password est conçue pour obliger l’utilisateur à entreprendre une action explicite », a déclaré Canahwati. « La mise à jour fournira une protection supplémentaire en empêchant les champs natifs d’être remplis avec des informations d’identification destinées uniquement à Android WebView. »
Craig Lurey, directeur technique de Keeper, a déclaré dans des remarques partagées avec TechCrunch que la société avait été informée de la vulnérabilité potentielle, mais il n’a pas précisé si elle avait apporté des correctifs. « Nous avons demandé une vidéo au chercheur pour illustrer le problème signalé. Sur la base de notre analyse, nous avons déterminé que le chercheur avait d’abord installé une application malveillante, puis accepté une invite de Keeper pour forcer le lien de l’application malveillante à l’historique des mots de passe de Keeper », a déclaré Lowry. .
Keeper a déclaré qu’il avait « mis en place des garanties pour protéger les utilisateurs contre le remplissage automatique d’informations d’identification dans une application ou un site non fiable que l’utilisateur n’a pas explicitement autorisé », et a recommandé au chercheur de soumettre son rapport à Google « car il concerne spécifiquement la plate-forme Android. «
Google et Enpass n’ont pas répondu aux questions de TechCrunch. La porte-parole de LastPass, Elizabeth Bassler, n’avait fait aucun commentaire au moment de mettre sous presse.
Gangwal a déclaré à TechCrunch que les chercheurs explorent actuellement la possibilité qu’un attaquant exfiltre les informations d’identification de l’application vers une WebView. L’équipe étudie également si la vulnérabilité pourrait être répliquée sur iOS.
« Évangéliste des médias sociaux. Baconaholic. Lecteur dévoué. Chercheur de Twitter. Pionnier avide du café. »
More Stories
Apple annonce l’expansion de Vision Pro dans deux pays supplémentaires
Nintendo lance une application musicale avec des thèmes de Mario et Zelda et, plus important encore, une chaîne Wii Shop
C’est le journal que personne n’a lu avant d’annoncer la disparition de la cryptographie moderne.