Chyba AutoSpill vo WebView môže odhaliť vaše prihlasovacie údaje do služieb. V ohrození sú milióny Android smartfónov!
Bezpečnostní experti popisujú slabinu AutoSpill, ktorá prakticky prezrádza vaše údaje uložené v správcovi hesiel.
Bezpečnostní experti odhalili, že najpoužívanejší správcovia hesiel môžu prezradiť uložené heslá na Android zariadeniach, ak podvodná aplikácia využije automatické dopĺňanie WebView, informuje Dark Reading.
Ako informuje bezpečnostný expert Ankit Gangwal, touto slabinou trpí množstvo obľúbených správcov hesiel. Novú bezpečnostnú medzeru výskumníci nazvali AutoSpill a vo svojej práci popísali, ako môžu útočníci pomocou nej získať prístup k prihlasovacím údajom uloženým v správcoch hesiel.
Slabina funguje tak, že ak aplikácia používa WebView, cez túto funkciu môže prezradiť používateľské meno a heslo. Podľa autorov to môže byť problém, ak si užívateľ otvorí podvodnú aplikáciu.
“V prípade podvodnej aplikácie dostávajú hackeri prihlasovacie údaje zadarmo. Netreba žiaden phishing, zložité triky, ani komplexný hackerský kód,” tvrdí Gangwal.
Najhoršie v tomto prípade je, že podobné podvodné aplikácie môžu bez problémov ostať v oficiálnych obchodoch s aplikáciami, pretože neobsahujú žiaden škodlivý kód. Vďaka tomu si ich stiahne väčšie množstvo ľudí a hacker získa prístup k väčšiemu množstvu osobných údajov. Samozrejme, že ak sa na podvod príde, Google aplikáciu následne stiahne. No to vám už nepomôže, ak sa stanete obeťou.
Slabina zatiaľ nie je aktívne využívaná
Zatiaľ sa však aspoň podľa vedomia výskumníkov neobjavili prípady, kedy by hackeri aktívne zneužívali AutoSpill. Nemožno to však s istotou potvrdiť. Autori štúdie zistenia zdieľali s Googlom a postihnutými správcami hesiel. Mnohí správcovia sa odvolali s týmto problémom na Google. Gangwal však tvrdí, že jedna špecifická spoločnosť sa k problému nevyjadrila ani pri opakovanom kontakte. Danú spoločnosť nechcel menovať.
Neprehliadnite
“Povedali, že to nie je ich zodpovednosť, že je to problém Androidu. Snažili sme sa s nimi diskutovať znova a znova, pričom sme im opakovane vysvetľovali problém. Popreli akúkoľvek zodpovednosť,” tvrdí Gangwal.
Len jedna spoločnosť odpísala priamo, spoločnosť 1Password. Tá sa vyjadrila, že problém opraví. Definitívnym riešením by podľa Gangwala malo byť úplné vymenenie hesiel za bezpečnejšiu formu zabezpečenia, napríklad za prístupové kľúče, na ktorých pracuje Google. Ide o spôsob zabezpečenia, ktorý sa viaže na účet používateľa a webového portálu či aplikácie, do ktorej sa užívateľ prihlasuje. V praxi to znamená, že sa môžete prihlasovať do rôznych služieb bez prihlasovacieho mena alebo hesla. Prístupové kľúče sa ukladajú do správcu hesiel a chráni ich end-to-end šifrovanie. Znamená to, že ku nim máte prístup len vy a portál, do ktorého sa prihlasujete.
Gangwal verí, že prístupové kľúče by mohli vyriešiť slabinu správcov hesiel, pretože musíte dať povolenie každej aplikácií, ktorá by chcela k prístupovému kľúču získať prístup. Zároveň však dodáva, že sú potrebné ďalšie výskumy, ktoré by ponúkli ucelený pohľad na tento problém. Momentálne vedci študujú niečo, čo je “nedopečené”, no zároveň veria, že uvidia sľubné výsledky.
Komentáre