Pesquisadores de segurança desenvolveram um novo ataque, chamado AutoSpill, para roubar credenciais de conta no Android durante a operação de preenchimento automático.
Em uma apresentação na conferência de segurança da Black Hat Europe, pesquisadores do Instituto Internacional de Tecnologia da Informação (IIIT) em Hyderabad disseram que seus testes mostraram que a maioria dos gerenciadores de senhas para Android são vulneráveis ao AutoSpill, mesmo sem a injeção de JavaScript.
Os aplicativos Android costumam usar controles WebView para renderizar conteúdo da web, como páginas de login dentro do aplicativo, em vez de redirecionar os usuários para o navegador principal, o que seria uma experiência mais complicada em dispositivos com tela pequena.
Gerenciadores de senhas no Android usam a plataforma WebView para digitar automaticamente as credenciais da conta do usuário quando um aplicativo carrega a página de login para serviços como Apple, Facebook, Microsoft ou Google.
Os pesquisadores disseram que é possível explorar as fraquezas nesse processo para capturar as credenciais preenchidas automaticamente no aplicativo invocador, mesmo sem a injeção de JavaScript.
Se as injeções de JavaScript estão ativadas, os pesquisadores dizem que todos os gerenciadores de senhas no Android são vulneráveis ao ataque AutoSpill.
Especificamente, o problema AutoSpill vem da falha do Android em impor ou definir claramente a responsabilidade pelo manuseio seguro dos dados preenchidos automaticamente, o que pode resultar em vazamento ou captura pelo aplicativo hospedeiro.
Em um cenário de ataque, um aplicativo malicioso que oferece um formulário de login poderia capturar as credenciais do usuário sem deixar qualquer indicação do comprometimento.
Detalhes técnicos adicionais sobre o ataque AutoSpill estão disponíveis nos slides dos pesquisadores da apresentação Black Hat Europe.
Mais detalhes sobre o ataque AutoSpill podem ser encontrados neste documento, que contém slides da apresentação na BlackHat.
Os pesquisadores testaram o AutoSpill contra uma seleção de gerenciadores de senhas no Android 10, 11 e 12 e descobriram que o 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 e Keepass2Android 1.09c-r0 são suscetíveis a ataques devido ao uso da estrutura de preenchimento automático do Android.
O Google Smart Lock 13.30.8.26 e o DashLane 6.2221.3 seguiram uma abordagem técnica diferente para o processo de preenchimento automático.
Eles não vazaram dados sensíveis para o aplicativo hospedeiro, a menos que a injeção de JavaScript fosse usada.
Os pesquisadores divulgaram suas descobertas para os fornecedores de software impactados e a equipe de segurança do Android e compartilharam suas propostas para resolver o problema.
Seu relatório foi reconhecido como válido, mas nenhuma informação sobre planos de correção foi compartilhada.
O BleepingComputer entrou em contato com vários fornecedores de produtos de gerenciamento de senhas afetados pelo AutoSpill, bem como com o Google, perguntando sobre seus planos para resolver o problema e recebemos os seguintes comentários até agora:
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...