O ataque AutoSpill rouba credenciais dos gerenciadores de senhas do Android
11 de Dezembro de 2023

Pesquisadores de segurança desenvolveram um novo ataque, chamado AutoSpill, para roubar credenciais de conta no Android durante a operação de preenchimento automático.

Em uma apresentação na conferência de segurança da Black Hat Europe, pesquisadores do Instituto Internacional de Tecnologia da Informação (IIIT) em Hyderabad disseram que seus testes mostraram que a maioria dos gerenciadores de senhas para Android são vulneráveis ao AutoSpill, mesmo sem a injeção de JavaScript.

Os aplicativos Android costumam usar controles WebView para renderizar conteúdo da web, como páginas de login dentro do aplicativo, em vez de redirecionar os usuários para o navegador principal, o que seria uma experiência mais complicada em dispositivos com tela pequena.

Gerenciadores de senhas no Android usam a plataforma WebView para digitar automaticamente as credenciais da conta do usuário quando um aplicativo carrega a página de login para serviços como Apple, Facebook, Microsoft ou Google.

Os pesquisadores disseram que é possível explorar as fraquezas nesse processo para capturar as credenciais preenchidas automaticamente no aplicativo invocador, mesmo sem a injeção de JavaScript.

Se as injeções de JavaScript estão ativadas, os pesquisadores dizem que todos os gerenciadores de senhas no Android são vulneráveis ao ataque AutoSpill.

Especificamente, o problema AutoSpill vem da falha do Android em impor ou definir claramente a responsabilidade pelo manuseio seguro dos dados preenchidos automaticamente, o que pode resultar em vazamento ou captura pelo aplicativo hospedeiro.

Em um cenário de ataque, um aplicativo malicioso que oferece um formulário de login poderia capturar as credenciais do usuário sem deixar qualquer indicação do comprometimento.

Detalhes técnicos adicionais sobre o ataque AutoSpill estão disponíveis nos slides dos pesquisadores da apresentação Black Hat Europe.

Mais detalhes sobre o ataque AutoSpill podem ser encontrados neste documento, que contém slides da apresentação na BlackHat.

Os pesquisadores testaram o AutoSpill contra uma seleção de gerenciadores de senhas no Android 10, 11 e 12 e descobriram que o 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 e Keepass2Android 1.09c-r0 são suscetíveis a ataques devido ao uso da estrutura de preenchimento automático do Android.

O Google Smart Lock 13.30.8.26 e o DashLane 6.2221.3 seguiram uma abordagem técnica diferente para o processo de preenchimento automático.

Eles não vazaram dados sensíveis para o aplicativo hospedeiro, a menos que a injeção de JavaScript fosse usada.

Os pesquisadores divulgaram suas descobertas para os fornecedores de software impactados e a equipe de segurança do Android e compartilharam suas propostas para resolver o problema.

Seu relatório foi reconhecido como válido, mas nenhuma informação sobre planos de correção foi compartilhada.

O BleepingComputer entrou em contato com vários fornecedores de produtos de gerenciamento de senhas afetados pelo AutoSpill, bem como com o Google, perguntando sobre seus planos para resolver o problema e recebemos os seguintes comentários até agora:

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...